Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Kurumsal AğlardaKurumsal AğlardaWeb Sistem GüvenliğiWeb Sistem Güvenliği
Ar. Gör. Enis KaraarslanAr. Gör. Enis KaraarslanEge Ü. Kampüs Network YöneticisiEge Ü. Kampüs Network Yöneticisi
ULAKCSIRTULAKCSIRThttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
İÇERİKİÇERİK1. Neden Web Güvenliği1. Neden Web Güvenliği2. Kurumsal Web Güvenliği Modeli2. Kurumsal Web Güvenliği Modeli
Standartları Oluşturma/UygulamaStandartları Oluşturma/Uygulama Sistem FarkındalığıSistem Farkındalığı Eğitim / SınamaEğitim / Sınama Saldırı SaptamaSaldırı Saptama EngellemeEngelleme
3. UlakCsirt Web Güvenliği Grubu3. UlakCsirt Web Güvenliği Grubu4. Sonuç4. Sonuç
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
NEDEN NEDEN WEB GÜVENLİĞİ?WEB GÜVENLİĞİ?
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Web Kullanımı ArtıyorWeb Kullanımı Artıyor
Doğru bilgiyi zamanında ulaştırmakDoğru bilgiyi zamanında ulaştırmak Eticaret ve bankacılıkEticaret ve bankacılık Eöğrenme ...vbEöğrenme ...vb Kurumların vitrini Kurumların vitrini Uzaktan program çalıştırmak Uzaktan program çalıştırmak Cihaz yönetimiCihaz yönetimi
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Artan Web SaldırılarıArtan Web Saldırıları
ZoneH ’in incelemesi 2004 yılında web ZoneH ’in incelemesi 2004 yılında web sunucu saldırıları 2003 yılına göre 400,000 sunucu saldırıları 2003 yılına göre 400,000 (%36) artmıştır. (%36) artmıştır.
CSI/FBI “Bilgisayar Suç ve Güvenlik CSI/FBI “Bilgisayar Suç ve Güvenlik Anketi”, ankete katılanların %95’i 2005 yılı Anketi”, ankete katılanların %95’i 2005 yılı içinde güvenlikle ilgili 10’dan fazla web içinde güvenlikle ilgili 10’dan fazla web sitesi olayı sitesi olayı
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Başlıca Nedenler ...Başlıca Nedenler ...
Web güvenliğinin yeterince ciddiye Web güvenliğinin yeterince ciddiye alınmaması.alınmaması.
Geleksel güvenlik duvarları yetersizGeleksel güvenlik duvarları yetersiz Yetersiz sunucu güvenliğiYetersiz sunucu güvenliği Güvenli kodlama eksikliği Güvenli kodlama eksikliği (Örn. Yazılımlarda girdi/çıktı kontrolünün (Örn. Yazılımlarda girdi/çıktı kontrolünün
yapılmaması)yapılmaması)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Kurumsal Kurumsal Web Güvenliği Web Güvenliği
ModeliModeli
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Kurumsal Web Güvenliği Modeli Kurumsal Web Güvenliği Modeli
Standartların OluşturulmasıStandartların Oluşturulması Web Sistem FarkındalığıWeb Sistem Farkındalığı Eğitim / SınamaEğitim / Sınama Saldırı SaptamaSaldırı Saptama EngellemeEngelleme
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Standartların OluşturulmasıStandartların Oluşturulması
Kurum dışına açılacak web sunucu Kurum dışına açılacak web sunucu sistemlerinin uyması gereken özellikler sistemlerinin uyması gereken özellikler belirlenmeli ve uygulanmalıdırbelirlenmeli ve uygulanmalıdır
Kurumun web sayfaları belirli bir yapıda ve Kurumun web sayfaları belirli bir yapıda ve şablonda olmalıdır.şablonda olmalıdır.
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Standartların Oluşturulması(devam)Standartların Oluşturulması(devam)
Hazır web portalları (phpnuke, joomla ...vb) Hazır web portalları (phpnuke, joomla ...vb) yerine kuruma özgü bir şablon hazırlanmalı yerine kuruma özgü bir şablon hazırlanmalı ve uygulanmalıdır.ve uygulanmalıdır.
Kurumsal web uygulamaları test edilmeli ve Kurumsal web uygulamaları test edilmeli ve dökümantasyonu bulunmalıdır ...dökümantasyonu bulunmalıdır ...
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Sistem FarkındalığıSistem Farkındalığı
Eğer saldırgan, Eğer saldırgan, sistemler hakkında sizden sistemler hakkında sizden daha fazla bilgiye sahipse, daha fazla bilgiye sahipse, o sistemi koruyamazsınız!o sistemi koruyamazsınız!
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Sistem FarkındalığıSistem Farkındalığı
Web Altyapısı FarkındalığıWeb Altyapısı Farkındalığı Zayıflık TestleriZayıflık TestleriÖr: Nessus, Nikto, WapitiÖr: Nessus, Nikto, Wapiti Sistemin Takip EdilmesiSistemin Takip EdilmesiÖr: CactiÖr: Cacti
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Web Altyapısı FarkındalığıWeb Altyapısı Farkındalığı
Web sunucu IP adresleriWeb sunucu IP adresleri Kullanılan protokoller (https, http)Kullanılan protokoller (https, http) Alan adı (örn. socrates.ege.edu.tr)Alan adı (örn. socrates.ege.edu.tr) Kullanılan port'lar (80, 8080 …vb)Kullanılan port'lar (80, 8080 …vb) İşletim Sistemi (Linux, Windows …vb)İşletim Sistemi (Linux, Windows …vb) Web sunucu yazılımı ve sürümü Web sunucu yazılımı ve sürümü (Apache 2.0, IIS 6.0…vb)(Apache 2.0, IIS 6.0…vb)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Web Altyapısı Farkındalığı (devam)Web Altyapısı Farkındalığı (devam)
Hazır portal yazılımı Hazır portal yazılımı (Joomla, Phpnuke…vb)(Joomla, Phpnuke…vb)
Web uygulamaları için kullanılan Web uygulamaları için kullanılan programlama dilleri (cgi, php, asp …vb)programlama dilleri (cgi, php, asp …vb)
Web uygulaması dosya adı ve hangi dizin Web uygulaması dosya adı ve hangi dizin altında bulunduğu (path)altında bulunduğu (path)
Uygulamaya iletilen parametreler ve tipleriUygulamaya iletilen parametreler ve tipleri
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Eğitim / TestEğitim / Test
ÇalıştayÇalıştay Eğitim PortalEğitim Portal
Ör: Ör: http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr
Test Sunucusu Test Sunucusu
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Eğitim(devam)Eğitim(devam)
Web yazılımlarının girdi/çıktı kontrolünün Web yazılımlarının girdi/çıktı kontrolünün yapılması gerektiği anlatılmalıyapılması gerektiği anlatılmalı
Sunuculardaki hata sayfaları yerine Sunuculardaki hata sayfaları yerine varsayılan sabit bir sayfa döndürülmesi varsayılan sabit bir sayfa döndürülmesi gerektiği anlatılmalıdır.gerektiği anlatılmalıdır.
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Saldırı SaptamaSaldırı Saptama
Saldırı Saptama SistemleriSaldırı Saptama SistemleriÖr: SnortÖr: Snort
Log TakibiLog Takibi Bal Küpü (Honeypot) uygulamalarıBal Küpü (Honeypot) uygulamaları
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Saldırı EngellemeSaldırı Engelleme
Erişimin Kontrolü/KısıtlanmasıErişimin Kontrolü/KısıtlanmasıÖr: ağ güvenlik duvarı, ACLÖr: ağ güvenlik duvarı, ACL
Web Sunucu GüvenliğiWeb Sunucu GüvenliğiÖr: Apache Mod SecurityÖr: Apache Mod Security
Reverse Proxy Web Güvenlik DuvarıReverse Proxy Web Güvenlik DuvarıÖr:Mod Security – Mod RewriteÖr:Mod Security – Mod Rewrite
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
UlakCsirtUlakCsirt
Web Güvenliği konusunda bilinçlendirmeWeb Güvenliği konusunda bilinçlendirme Web Güvenliği BelgeleriWeb Güvenliği Belgeleri http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr
http://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr/dokumanlar/dokumanlar İTUNinova – Eöğrenme içeriği hazırlanıyorİTUNinova – Eöğrenme içeriği hazırlanıyorhttp://ninova.itu.edu.trhttp://ninova.itu.edu.tr
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
http://ninova.itu.edu.trhttp://ninova.itu.edu.tr
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
SONUÇ SONUÇ
Kurumsal Ağlarda web güvenliğini Kurumsal Ağlarda web güvenliğini sağlamak için öncelikle gerekenler:sağlamak için öncelikle gerekenler: Web Sisteminizin farkında olmalısınızWeb Sisteminizin farkında olmalısınız Sunucu Yöneticilerini ve programcıları Sunucu Yöneticilerini ve programcıları
bilinçlendirmelibilinçlendirmeli
Saldırı Tespiti için sistem takip edilmeliSaldırı Tespiti için sistem takip edilmeli Mümkünse web güvenlik duvarı Mümkünse web güvenlik duvarı
çözümlerine gidilmelidir.çözümlerine gidilmelidir.
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
SONUÇ (devam)SONUÇ (devam)
Belgeleme çalışmalarımız devam Belgeleme çalışmalarımız devam etmektedir. Desteğinizi bekliyoruz:etmektedir. Desteğinizi bekliyoruz:http://websecurity.ege.edu.trhttp://websecurity.ege.edu.trhttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr/dokumanlar/dokumanlar
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
İlginiz için teşekkürler ....İlginiz için teşekkürler ....Sorularınızı bekliyoruz.Sorularınızı bekliyoruz.
İletişim için: İletişim için: [email protected]@karaarslan.net
ULAKCSIRTULAKCSIRThttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr