06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Kurumsal AğlardaKurumsal AğlardaWeb Sistem GüvenliğiWeb Sistem Güvenliği

Ar. Gör. Enis KaraarslanAr. Gör. Enis KaraarslanEge Ü. Kampüs Network YöneticisiEge Ü. Kampüs Network Yöneticisi

ULAK­CSIRTULAK­CSIRThttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr    

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

İÇERİKİÇERİK1. Neden Web Güvenliği1. Neden Web Güvenliği2. Kurumsal Web Güvenliği Modeli2. Kurumsal Web Güvenliği Modeli

Standartları Oluşturma/UygulamaStandartları Oluşturma/Uygulama Sistem FarkındalığıSistem Farkındalığı Eğitim / SınamaEğitim / Sınama Saldırı SaptamaSaldırı Saptama EngellemeEngelleme

3. Ulak­Csirt Web Güvenliği Grubu3. Ulak­Csirt Web Güvenliği Grubu4. Sonuç4. Sonuç

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

NEDEN NEDEN WEB GÜVENLİĞİ?WEB GÜVENLİĞİ?

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Web Kullanımı ArtıyorWeb Kullanımı Artıyor

Doğru bilgiyi zamanında ulaştırmakDoğru bilgiyi zamanında ulaştırmak E­ticaret ve bankacılıkE­ticaret ve bankacılık E­öğrenme ...vbE­öğrenme ...vb Kurumların vitrini Kurumların vitrini  Uzaktan program çalıştırmak Uzaktan program çalıştırmak  Cihaz yönetimiCihaz yönetimi

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Artan Web SaldırılarıArtan Web Saldırıları

  Zone­H ’in incelemesi­ 2004 yılında web Zone­H ’in incelemesi­ 2004 yılında web sunucu saldırıları 2003 yılına göre 400,000 sunucu saldırıları 2003 yılına göre 400,000 (%36) artmıştır. (%36) artmıştır. 

CSI/FBI ­ “Bilgisayar Suç ve Güvenlik CSI/FBI ­ “Bilgisayar Suç ve Güvenlik Anketi”, ankete katılanların %95’i 2005 yılı Anketi”, ankete katılanların %95’i 2005 yılı içinde güvenlikle ilgili 10’dan fazla web içinde güvenlikle ilgili 10’dan fazla web sitesi olayı sitesi olayı 

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Başlıca Nedenler ...Başlıca Nedenler ...

Web güvenliğinin yeterince ciddiye Web güvenliğinin yeterince ciddiye alınmaması.alınmaması.

Geleksel güvenlik duvarları yetersizGeleksel güvenlik duvarları yetersiz Yetersiz sunucu güvenliğiYetersiz sunucu güvenliği Güvenli kodlama eksikliği  Güvenli kodlama eksikliği  (Örn. Yazılımlarda girdi/çıktı kontrolünün (Örn. Yazılımlarda girdi/çıktı kontrolünün 

yapılmaması)yapılmaması)

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Kurumsal Kurumsal Web Güvenliği Web Güvenliği 

ModeliModeli

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Kurumsal Web Güvenliği Modeli Kurumsal Web Güvenliği Modeli 

Standartların OluşturulmasıStandartların Oluşturulması Web Sistem FarkındalığıWeb Sistem Farkındalığı Eğitim / SınamaEğitim / Sınama Saldırı SaptamaSaldırı Saptama EngellemeEngelleme

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Standartların OluşturulmasıStandartların Oluşturulması

Kurum dışına açılacak web sunucu Kurum dışına açılacak web sunucu sistemlerinin uyması gereken özellikler sistemlerinin uyması gereken özellikler belirlenmeli ve uygulanmalıdırbelirlenmeli ve uygulanmalıdır

Kurumun web sayfaları belirli bir yapıda ve Kurumun web sayfaları belirli bir yapıda ve şablonda olmalıdır.şablonda olmalıdır.

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Standartların Oluşturulması(devam)Standartların Oluşturulması(devam)

Hazır web portalları (phpnuke, joomla ...vb) Hazır web portalları (phpnuke, joomla ...vb) yerine kuruma özgü bir şablon hazırlanmalı yerine kuruma özgü bir şablon hazırlanmalı ve uygulanmalıdır.ve uygulanmalıdır.

Kurumsal web uygulamaları test edilmeli ve Kurumsal web uygulamaları test edilmeli ve dökümantasyonu bulunmalıdır ...dökümantasyonu bulunmalıdır ...

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Sistem FarkındalığıSistem Farkındalığı

Eğer saldırgan, Eğer saldırgan, sistemler hakkında sizden sistemler hakkında sizden daha fazla bilgiye sahipse, daha fazla bilgiye sahipse, o sistemi koruyamazsınız!o sistemi koruyamazsınız!

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Sistem FarkındalığıSistem Farkındalığı

Web Altyapısı FarkındalığıWeb Altyapısı Farkındalığı Zayıflık TestleriZayıflık TestleriÖr: Nessus, Nikto, WapitiÖr: Nessus, Nikto, Wapiti Sistemin Takip EdilmesiSistemin Takip EdilmesiÖr: CactiÖr: Cacti

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Web Altyapısı FarkındalığıWeb Altyapısı Farkındalığı

Web sunucu IP adresleriWeb sunucu IP adresleri Kullanılan protokoller (https, http)Kullanılan protokoller (https, http) Alan adı (örn. socrates.ege.edu.tr)Alan adı (örn. socrates.ege.edu.tr) Kullanılan port'lar (80, 8080 …vb)Kullanılan port'lar (80, 8080 …vb) İşletim Sistemi (Linux, Windows …vb)İşletim Sistemi (Linux, Windows …vb) Web sunucu yazılımı ve sürümü Web sunucu yazılımı ve sürümü (Apache 2.0, IIS 6.0…vb)(Apache 2.0, IIS 6.0…vb)

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Web Altyapısı Farkındalığı (devam)Web Altyapısı Farkındalığı (devam)

Hazır portal yazılımı Hazır portal yazılımı (Joomla, Phpnuke…vb)(Joomla, Phpnuke…vb)

Web uygulamaları için kullanılan Web uygulamaları için kullanılan programlama dilleri (cgi, php, asp …vb)programlama dilleri (cgi, php, asp …vb)

Web uygulaması dosya adı ve hangi dizin Web uygulaması dosya adı ve hangi dizin altında bulunduğu (path)altında bulunduğu (path)

Uygulamaya iletilen parametreler ve tipleriUygulamaya iletilen parametreler ve tipleri

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Eğitim / TestEğitim / Test

ÇalıştayÇalıştay Eğitim PortalEğitim Portal

Ör: Ör: http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr

Test Sunucusu Test Sunucusu 

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Eğitim(devam)Eğitim(devam)

Web yazılımlarının girdi/çıktı kontrolünün Web yazılımlarının girdi/çıktı kontrolünün yapılması gerektiği anlatılmalıyapılması gerektiği anlatılmalı

Sunuculardaki hata sayfaları yerine Sunuculardaki hata sayfaları yerine varsayılan sabit bir sayfa döndürülmesi varsayılan sabit bir sayfa döndürülmesi gerektiği anlatılmalıdır.gerektiği anlatılmalıdır.

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Saldırı SaptamaSaldırı Saptama

Saldırı Saptama SistemleriSaldırı Saptama SistemleriÖr: SnortÖr: Snort

Log TakibiLog Takibi Bal Küpü (Honeypot) uygulamalarıBal Küpü (Honeypot) uygulamaları

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Saldırı EngellemeSaldırı Engelleme

Erişimin Kontrolü/KısıtlanmasıErişimin Kontrolü/KısıtlanmasıÖr: ağ güvenlik duvarı, ACLÖr: ağ güvenlik duvarı, ACL

Web Sunucu GüvenliğiWeb Sunucu GüvenliğiÖr: Apache­ Mod SecurityÖr: Apache­ Mod Security

Reverse Proxy ­ Web Güvenlik DuvarıReverse Proxy ­ Web Güvenlik DuvarıÖr:Mod Security – Mod RewriteÖr:Mod Security – Mod Rewrite

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

Ulak­CsirtUlak­Csirt

Web Güvenliği konusunda bilinçlendirmeWeb Güvenliği konusunda bilinçlendirme Web Güvenliği BelgeleriWeb Güvenliği Belgeleri http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr

http://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr/dokumanlar/dokumanlar İTU­Ninova – E­öğrenme içeriği hazırlanıyorİTU­Ninova – E­öğrenme içeriği hazırlanıyorhttp://ninova.itu.edu.trhttp://ninova.itu.edu.tr  

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

http://ninova.itu.edu.trhttp://ninova.itu.edu.tr

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

SONUÇ SONUÇ 

Kurumsal Ağlarda web güvenliğini Kurumsal Ağlarda web güvenliğini sağlamak için öncelikle gerekenler:sağlamak için öncelikle gerekenler: Web Sisteminizin farkında olmalısınızWeb Sisteminizin farkında olmalısınız Sunucu Yöneticilerini ve programcıları Sunucu Yöneticilerini ve programcıları 

bilinçlendirmelibilinçlendirmeli

Saldırı Tespiti için sistem takip edilmeliSaldırı Tespiti için sistem takip edilmeli Mümkünse web güvenlik duvarı Mümkünse web güvenlik duvarı 

çözümlerine gidilmelidir.çözümlerine gidilmelidir.

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

SONUÇ (devam)SONUÇ (devam)

Belgeleme çalışmalarımız devam Belgeleme çalışmalarımız devam etmektedir. Desteğinizi bekliyoruz:etmektedir. Desteğinizi bekliyoruz:http://websecurity.ege.edu.trhttp://websecurity.ege.edu.trhttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr/dokumanlar/dokumanlar

06/04/0706/04/07 ULAK­CSIRT – .Enis KaraarslanULAK­CSIRT – .Enis Karaarslan

İlginiz için teşekkürler ....İlginiz için teşekkürler ....Sorularınızı bekliyoruz.Sorularınızı bekliyoruz.

İletişim için: İletişim için: info@karaarslan.netinfo@karaarslan.net    

ULAK­CSIRTULAK­CSIRThttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr