SALDIRILAR VE SALDIRILAR VE TESPİT TESPİT

SİSTEMLERİSİSTEMLERİHAMDİ OKUR 05260013HAMDİ OKUR 05260013

ÖMER ALTUĞ 05260039ÖMER ALTUĞ 05260039

Konu BaşlıklarıKonu Başlıkları

Çeşitli Saldırı Teknikleri ve Önleme Çeşitli Saldırı Teknikleri ve Önleme YöntemleriYöntemleri

Saldırı Tespit SistemleriSaldırı Tespit Sistemleri Veri MadenciliğiVeri Madenciliği

Bilgi Güvenliği KavramıBilgi Güvenliği Kavramı

Bilişim ürünleriBilişim ürünleri//cihazları ile bcihazları ile bu u cihazlarda işlenmektecihazlarda işlenmekte olan verileriolan verilerin n bütünlüğü ve sürekliliğinibütünlüğü ve sürekliliğini korumayı korumayı amaçlayan çalışma alanıdır.amaçlayan çalışma alanıdır.

Tehdit TürleriTehdit Türleri

İç Tehdit Unsurlarıİç Tehdit Unsurları

Bilgisiz ve Bilinçsiz KullanımBilgisiz ve Bilinçsiz Kullanım

Kötü Niyetli HareketlerKötü Niyetli Hareketler

~ % 80~ % 80

Dış Tehdit UnsurlarıDış Tehdit Unsurları

Hedefe Yönelmiş SaldırılarHedefe Yönelmiş Saldırılar

Hedef Gözetmeyen SaldırılarHedef Gözetmeyen Saldırılar

~ % 20~ % 20

İç Tehdit Unsurlarıİç Tehdit Unsurları

Bilgisiz ve Bilinçsiz KullanımBilgisiz ve Bilinçsiz Kullanım Temizlik Görevlisinin Sunucunun Fişini ÇekmesiTemizlik Görevlisinin Sunucunun Fişini Çekmesi Eğitilmemiş Çalışanın Veritabanını SilmesiEğitilmemiş Çalışanın Veritabanını Silmesi

Kötü Niyetli HareketlerKötü Niyetli Hareketler İşten Çıkarılan Çalışanın, Kuruma Ait Web Sitesini İşten Çıkarılan Çalışanın, Kuruma Ait Web Sitesini

DeğiştirmesiDeğiştirmesi Bir Çalışanının, Ağda “Sniffer” Çalıştırarak E-postaları Bir Çalışanının, Ağda “Sniffer” Çalıştırarak E-postaları

OkumasıOkuması Bir Yöneticinin, Geliştirilen Ürünün Planını Rakip Bir Yöneticinin, Geliştirilen Ürünün Planını Rakip

Kurumlara SatmasıKurumlara Satması

Dış Tehdit UnsurlarıDış Tehdit Unsurları

Hedefe Yönelmiş SaldırılarHedefe Yönelmiş Saldırılar Bir Saldırganın Kurum Web Sitesini DeğiştirmesiBir Saldırganın Kurum Web Sitesini Değiştirmesi Bir Saldırganın Kurum Muhasebe Kayıtlarını Bir Saldırganın Kurum Muhasebe Kayıtlarını

DeğiştirmesiDeğiştirmesi Birçok Saldırganın Kurum Web Sunucusuna Hizmet Birçok Saldırganın Kurum Web Sunucusuna Hizmet

Aksatma Saldırısı YapmasıAksatma Saldırısı Yapması

Hedef Gözetmeyen SaldırılarHedef Gözetmeyen Saldırılar Virüs Saldırıları (Melissa, CIH – Çernobil, Vote)Virüs Saldırıları (Melissa, CIH – Çernobil, Vote) Worm Saldırıları (Code Red, Nimda)Worm Saldırıları (Code Red, Nimda) Trojan Arka Kapıları (Netbus, Subseven, Black Trojan Arka Kapıları (Netbus, Subseven, Black

Orifice)Orifice)

Saldırı KavramıSaldırı Kavramı

Kurum ve şahısların sahip oldukları tüm Kurum ve şahısların sahip oldukları tüm değer ve bilgilere izinsiz erişmek, zarar değer ve bilgilere izinsiz erişmek, zarar vermek, maddi/manevi kazanç sağlamak vermek, maddi/manevi kazanç sağlamak için bilişim sistemleri kullanılarak yapılan için bilişim sistemleri kullanılarak yapılan her türlü hareket dijital saldırı olarak her türlü hareket dijital saldırı olarak tanımlanabilir. tanımlanabilir.

Saldırgan TürleriSaldırgan Türleri Profesyonel SuçlularProfesyonel Suçlular

Genç Kuşak Genç Kuşak SaldırganlarSaldırganlar

Kurum ÇalışanlarıKurum Çalışanları

Endüstri ve Teknoloji Endüstri ve Teknoloji CasuslarıCasusları

Dış Ülke yönetimleriDış Ülke yönetimleri

Saldırı YöntemleriSaldırı Yöntemleri Hizmet Aksatma SaldırılarıHizmet Aksatma Saldırıları

Dağıtık Hizmet Aksatma SaldırılarıDağıtık Hizmet Aksatma Saldırıları

Ticari Bilgi ve Teknoloji HırsızlıklarıTicari Bilgi ve Teknoloji Hırsızlıkları

Web Sayfası İçeriği Değiştirme Web Sayfası İçeriği Değiştirme SaldırılarıSaldırıları

Kurum Üzerinden Farklı Bir Hedefe Kurum Üzerinden Farklı Bir Hedefe SaldırmakSaldırmak

Virüs , Worm , Trojan SaldırılarıVirüs , Worm , Trojan Saldırıları

İzinsiz Kaynak Kullanımıİzinsiz Kaynak Kullanımı

Saldırılarda Sıkça Saldırılarda Sıkça Kullanılan TekniklerKullanılan Teknikler

Sosyal MühendislikSosyal Mühendislik

Ağ HaritalamaAğ Haritalama

Uygulama ZayıflıklarıUygulama Zayıflıkları

Yerel Ağ SaldırılarıYerel Ağ Saldırıları

SpoofingSpoofing

Hizmet Aksatma Saldırıları (Dos , DDos)Hizmet Aksatma Saldırıları (Dos , DDos)

Virüs, Worm , Trojan KullanımıVirüs, Worm , Trojan Kullanımı

Sosyal MühendislikSosyal Mühendislik

Amaç kurum yapısı, kurumsal ağın Amaç kurum yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin yapısı, çalışanların/yöneticilerin kişisel bilgileri, şifreler ve kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.materyalin toplanmasıdır.

Kuruma çalışan olarak sızmak, Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir servis yada destek alınan bir kurumdan arıyormuş gibi kurumdan arıyormuş gibi görünerek bilgi toplamak, bilinen görünerek bilgi toplamak, bilinen en iyi örnekleridir.en iyi örnekleridir.

Sosyal Mühendislik – Sosyal Mühendislik – Önleme YöntemleriÖnleme Yöntemleri

Telefonda kuruma ait bilgiler, karşıdaki Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin kişinin doğru kişi olduğuna emin olmadan verilmemelidir.olmadan verilmemelidir.

Çalışanları kuruma dahil ederken Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri özgeçmişleri, alışkanlıkları ve eğilimleri mutlak incelenmelidir.mutlak incelenmelidir.

Önemli sunuculara fiziksel erişimin Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır.sistemleri kullanılmalıdır.

Ağ HaritalamaAğ Haritalama

Aktif sistemlerin belirlenmesi, Aktif sistemlerin belirlenmesi, işletim sistemlerinin saptanması, işletim sistemlerinin saptanması, aktif servislerin belirlenmesi ve bu aktif servislerin belirlenmesi ve bu bileşenlerin ağ üzerindeki bileşenlerin ağ üzerindeki konumlarının belirlenmesi gibi konumlarının belirlenmesi gibi aşamalardan oluşur.aşamalardan oluşur.

Saldırgan, hedef ağın yöneticisi ile Saldırgan, hedef ağın yöneticisi ile aynı bilgi seviyesine ulaşana kadar aynı bilgi seviyesine ulaşana kadar bu süreç devam etmektedir.bu süreç devam etmektedir.

Ağ Haritalamada Ağ Haritalamada Ulaşılmak İstenen Ulaşılmak İstenen

BilgilerBilgiler Hedef ağdaki tüm bileşenler.Hedef ağdaki tüm bileşenler. Hedef ağa ait olan alan adı, IP aralığı ve Hedef ağa ait olan alan adı, IP aralığı ve

internet erişim hattının ait olduğu internet erişim hattının ait olduğu kurumlar, kişiler, bitiş süreleri.kurumlar, kişiler, bitiş süreleri.

Hedef ağdaki aktif bileşenlerin işletim Hedef ağdaki aktif bileşenlerin işletim sistemleri, sürümleri, yama seviyesi.sistemleri, sürümleri, yama seviyesi.

Sunucu sistemler üzerinde çalışan servisler, Sunucu sistemler üzerinde çalışan servisler, kullanılan uygulamalar ve yama seviyeleri.kullanılan uygulamalar ve yama seviyeleri.

Hedef ağdaki tüm güvenlik uygulamaları, Hedef ağdaki tüm güvenlik uygulamaları, erişim listeleri, sürümleri, yama seviyeleri.erişim listeleri, sürümleri, yama seviyeleri.

Ağ Haritalamada Ağ Haritalamada Kullanılan TekniklerKullanılan Teknikler

Sosyal MühendislikSosyal Mühendislik Ping Taraması (Ping Sweep)Ping Taraması (Ping Sweep) Port Tarama (Port Scanning)Port Tarama (Port Scanning) İşletim Sistemi Saptama (Os İşletim Sistemi Saptama (Os

Fingerprinting)Fingerprinting) Yol Haritası Belirleme (Tracerouting)Yol Haritası Belirleme (Tracerouting) Güvenlik Duvarı Kural Listesi Belirleme Güvenlik Duvarı Kural Listesi Belirleme

(Firewalking)(Firewalking) Saldırı Tespit Sistemi Saptama/İncelemeSaldırı Tespit Sistemi Saptama/İnceleme

Ağ Haritalama – Önleme Ağ Haritalama – Önleme YöntemleriYöntemleri

Güvenlik Duvarı üzerinde, ağın devamlılığı Güvenlik Duvarı üzerinde, ağın devamlılığı için gerekli olmayan, internetten ağa için gerekli olmayan, internetten ağa yönelik her türlü IP paketini engelleyecek yönelik her türlü IP paketini engelleyecek kurallar belirlemek.kurallar belirlemek.

Güvenlik Duvarını uygulama seviyesinde Güvenlik Duvarını uygulama seviyesinde kullanmak veya ağdaki işletim sistemlerini kullanmak veya ağdaki işletim sistemlerini ele vermeyecek şekilde yapılandırmak.ele vermeyecek şekilde yapılandırmak.

Saldırı Tespit Sistemlerini gerekli Saldırı Tespit Sistemlerini gerekli olmadıkça tepki vermeyecek şekilde olmadıkça tepki vermeyecek şekilde yapılandırmak.yapılandırmak.

Yerel Ağ SaldırılarıYerel Ağ Saldırıları

Yerel ağda bulunan kullanıcıların, sahip Yerel ağda bulunan kullanıcıların, sahip oldukları hakları kötü niyetli kullanması oldukları hakları kötü niyetli kullanması sonucu oluşmaktadır.sonucu oluşmaktadır.

Amaç genelde diğer çalışanların e-Amaç genelde diğer çalışanların e-postalarını okumak, yöneticilerin şifrelerini postalarını okumak, yöneticilerin şifrelerini yakalamak, kuruma veya farklı bir çalışana yakalamak, kuruma veya farklı bir çalışana ait bilgilerin incelenmesi olmaktadır.ait bilgilerin incelenmesi olmaktadır.

Paket yakalamak, oturum yakalamak, Paket yakalamak, oturum yakalamak, oturumlara müdahale etmek en sık oturumlara müdahale etmek en sık kullanılan saldırılardır.kullanılan saldırılardır.

Yerel Ağ Saldırılarında Yerel Ağ Saldırılarında Kullanılan TekniklerKullanılan Teknikler

Sniffer kullanarak paket yakalamak.Sniffer kullanarak paket yakalamak. Yakalanan paketlerin ait olduğu Yakalanan paketlerin ait olduğu

oturumları yakalamak ve müdahale oturumları yakalamak ve müdahale etmek.etmek.

SSH ve SSL oturumlarını yakalamak, SSH ve SSL oturumlarını yakalamak, güvenli sanılan oturumlardan veri güvenli sanılan oturumlardan veri çalmak.çalmak.

Yerel Ağ Saldırıları – Yerel Ağ Saldırıları – Önleme YöntemleriÖnleme Yöntemleri

Hub kullanılan ağlarda Switch kullanımına Hub kullanılan ağlarda Switch kullanımına geçmek.geçmek.

Switch’leri her porta bir MAC adresi gelecek Switch’leri her porta bir MAC adresi gelecek yapılandırmak, kaliteli Switch’ler kullanarak yapılandırmak, kaliteli Switch’ler kullanarak MAC adresi tablosunun taşmamasını MAC adresi tablosunun taşmamasını sağlamak.sağlamak.

Ağ üzerindeki tüm istemcilerde statik ARP Ağ üzerindeki tüm istemcilerde statik ARP tabloları oluşturmak ve değişiklikleri izlemek.tabloları oluşturmak ve değişiklikleri izlemek.

SSH / SSL kullanılan oturumlarda en yeni SSH / SSL kullanılan oturumlarda en yeni sürümleri ve en yeni şifreleme algoritmalarını sürümleri ve en yeni şifreleme algoritmalarını kullanmak.kullanmak.

SpoofingSpoofing Basitçe kaynak yanıltma olarak tanımlanabilir.Basitçe kaynak yanıltma olarak tanımlanabilir.

Genelde hedeften ek haklar kazanmak, saldırı Genelde hedeften ek haklar kazanmak, saldırı suçundan farklı kişilerin/kurumların sorumlu suçundan farklı kişilerin/kurumların sorumlu olmasını sağlamak, kendini gizlemek veya olmasını sağlamak, kendini gizlemek veya dağıtık saldırılar düzenlemek için dağıtık saldırılar düzenlemek için kullanılmaktadır.kullanılmaktadır.

Çeşitli protokollerde, doğrulama sistemlerinde Çeşitli protokollerde, doğrulama sistemlerinde ve uygulamaya özel işlemlerde ve uygulamaya özel işlemlerde uygulanabilmektedir.uygulanabilmektedir.

Spoofing TeknikleriSpoofing Teknikleri MAC adreslerinin fiziki olarak değiştirilmesi veya MAC adreslerinin fiziki olarak değiştirilmesi veya

ethernet paketlerindeki değişiklikler ile MAC ethernet paketlerindeki değişiklikler ile MAC Spoofing yapılabilir.Spoofing yapılabilir.

ARP protokolündeki paketlerde IP/MAC adresleri ARP protokolündeki paketlerde IP/MAC adresleri eşleşmesini yanıltarak ARP Spoofing yapılabilir.eşleşmesini yanıltarak ARP Spoofing yapılabilir.

IP Paketlerindeki kaynak IP adresini değiştirerek IP Paketlerindeki kaynak IP adresini değiştirerek IP Spoofing yapılabilir.IP Spoofing yapılabilir.

DNS sunucularını ele geçirerek veya sorgulara DNS sunucularını ele geçirerek veya sorgulara sahte cevaplar vererek DNS spoofing yapılabilir.sahte cevaplar vererek DNS spoofing yapılabilir.

Web sunucudan alınmış cookie’nin kopyalanması Web sunucudan alınmış cookie’nin kopyalanması suretiyle kimlik yanıltması yapılabilir.suretiyle kimlik yanıltması yapılabilir.

Parmak izi sistemlerinde, daha önce alınmış Parmak izi sistemlerinde, daha önce alınmış parmak izi örneği kullanılarak yapılabilir.parmak izi örneği kullanılarak yapılabilir.

Spoofing – Örnek Spoofing – Örnek Spoofing İşlemiSpoofing İşlemi

Saldırılacak SistemYerine Geçilecek Sistem

Saldırgan

Devre Dışı KalBen “O”yum

1 2

Spoofing – Önleme Spoofing – Önleme YöntemleriYöntemleri

Harici doğrulama sistemleri kullanmakHarici doğrulama sistemleri kullanmak IP, DNS, ARP, MAC adresleriyle doğrulama IP, DNS, ARP, MAC adresleriyle doğrulama

kullanan servisleri devre dışı bırakmakkullanan servisleri devre dışı bırakmak Statik ARP tabloları kullanmak, Switch’lerde Statik ARP tabloları kullanmak, Switch’lerde

her porta bir MAC adresi eşleşmesini her porta bir MAC adresi eşleşmesini sağlamak ve Swtich’leri tablo taşmalarından sağlamak ve Swtich’leri tablo taşmalarından korumakkorumak

Ters sorguları aktif hale getirmek (RDNS, Ters sorguları aktif hale getirmek (RDNS, RARP vb.)RARP vb.)

Doğrulama bilgilerinin (şifre, dosyalar vb.) Doğrulama bilgilerinin (şifre, dosyalar vb.) istemci sisteminde tutulmasını engellemekistemci sisteminde tutulmasını engellemek

Hizmet Aksatma Hizmet Aksatma SaldırılarıSaldırıları

Protokol, işletim sistemi veya uygulamada Protokol, işletim sistemi veya uygulamada bulunan zayıflıkların sonucunda, bulunan zayıflıkların sonucunda, sunucunun servis veremez hale sunucunun servis veremez hale getirilmesidir.getirilmesidir.

Hedef bir sunucu, servis, uygulama veya Hedef bir sunucu, servis, uygulama veya ağın devre dışı bırakılması olabilir.ağın devre dışı bırakılması olabilir.

Tek merkezli yada çok merkezli olarak Tek merkezli yada çok merkezli olarak yapılabilir.yapılabilir.

Hizmet Aksatma Saldırıları Hizmet Aksatma Saldırıları – Önleme Yöntemleri– Önleme Yöntemleri

Uygulama ve işletim sistemlerinin Uygulama ve işletim sistemlerinin yayınlanmış tüm güncelleme/yamaları yayınlanmış tüm güncelleme/yamaları uygulanmalı, yeni sürümlerle hizmet uygulanmalı, yeni sürümlerle hizmet verilmelidirverilmelidir

Uygulama seviyesinde güvenlik duvarları Uygulama seviyesinde güvenlik duvarları kullanılmalı ve uygulamalara yönelik tek kullanılmalı ve uygulamalara yönelik tek merkezli saldırılar takip edilmelidirmerkezli saldırılar takip edilmelidir

Güvenlik Duvarı üzerinde, ağın devamlılığı Güvenlik Duvarı üzerinde, ağın devamlılığı için gerekli olmayan, internetten ağa için gerekli olmayan, internetten ağa yönelik her türlü IP paketini engelleyecek yönelik her türlü IP paketini engelleyecek kurallar belirlenmelidirkurallar belirlenmelidir

Virüs, Virüs, Worm ,Trojan,Spam Worm ,Trojan,Spam

TehlikeleriTehlikeleri Virüs’ler e-posta, veri taşıma ortamları Virüs’ler e-posta, veri taşıma ortamları (disket, cd, dvd vb.) ve web sayfaları (disket, cd, dvd vb.) ve web sayfaları ile yayılabilir (Melisa, CIH)ile yayılabilir (Melisa, CIH)

Worm’lar, Virüs’lerin kullandıkları Worm’lar, Virüs’lerin kullandıkları yöntemlere ek olarak, yöntemlere ek olarak, uygulama/işletim sistemi zayıflıkları ile uygulama/işletim sistemi zayıflıkları ile saldırılar düzenleyebilir ve bu şekilde saldırılar düzenleyebilir ve bu şekilde de yayılabilir (Code Red, Nimda)de yayılabilir (Code Red, Nimda)

Trojan’lar ancak ilgili uygulama Trojan’lar ancak ilgili uygulama çalıştırıldığında etkili olmaktadır çalıştırıldığında etkili olmaktadır (Netbus, Subseven)(Netbus, Subseven)

Spamler mail ile sisteme bulaşan ve Spamler mail ile sisteme bulaşan ve zarar veren yazılımlardır.zarar veren yazılımlardır.

Virüs, Worm ve Trojan’ları Virüs, Worm ve Trojan’ları Önleme YöntemleriÖnleme Yöntemleri

Anti-Virüs sistemleri, tüm istemci ve Anti-Virüs sistemleri, tüm istemci ve sunucuları koruyacak şekilde kullanılmalıdırsunucuları koruyacak şekilde kullanılmalıdır

Worm saldırılarını engelleyebilmek için Worm saldırılarını engelleyebilmek için Saldırı Tespit Sistemleri (eğer mümkün ise Saldırı Tespit Sistemleri (eğer mümkün ise Güvenlik Duvarı) üzerinde önlemler Güvenlik Duvarı) üzerinde önlemler alınmalıdıralınmalıdır

İnternet üzerinden kurumsal ağa gelen FTP, İnternet üzerinden kurumsal ağa gelen FTP, HTTP, SMTP, POP3, IMAP gibi protokollere HTTP, SMTP, POP3, IMAP gibi protokollere ait paketler Anti-Virüs sistemleri tarafından ait paketler Anti-Virüs sistemleri tarafından incelenmeli, mümkün ise Anti-Virüs ağ geçidi incelenmeli, mümkün ise Anti-Virüs ağ geçidi kullanılmalıdırkullanılmalıdır

Web Sayfası Değişimleri Web Sayfası Değişimleri – Yahoo 7/2/2000– Yahoo 7/2/2000

Web Sayfası Değişimleri Web Sayfası Değişimleri – tk.gov.tr 4/11/2001– tk.gov.tr 4/11/2001

Görülebilecek Zararın Görülebilecek Zararın BoyutuBoyutu

Müşteri MağduriyetiMüşteri Mağduriyeti

Kaynakların TüketimiKaynakların Tüketimi

İş Yavaşlaması veya Durdurulmasıİş Yavaşlaması veya Durdurulması

Kurumsal İmaj KaybıKurumsal İmaj Kaybı

Üçüncü Şahıslara Karşı Yapılacak Saldırı Üçüncü Şahıslara Karşı Yapılacak Saldırı

MesuliyetiMesuliyeti

Ağda Bulunan ve Potansiyel Ağda Bulunan ve Potansiyel Risk İçeren SistemlerRisk İçeren Sistemler

DMZ

Yerel Ağ

Güvenlik Duvarı

İnternet

Diğer Ağlar

Router

Varsayılan Kurulumda Bırakılan

Web Sunucusu

Relay’e İzin Veren E-Posta Sunucusu

Sekrete ait istemci

Sistem yöneticisine ait istemci

Bölünmüş Paketleri Gözardı Eden

Güvenlik DuvarıKaynak Yönlendirme

veya Spoofing Yapılabilen Router

Genel Güvenlik Genel Güvenlik ÖnlemleriÖnlemleri

Bir Güvenlik Politikası Oluşturulmalı.Bir Güvenlik Politikası Oluşturulmalı. Tüm Ağ Sorun Kaldırabilecek Şekilde ve Politikada Tüm Ağ Sorun Kaldırabilecek Şekilde ve Politikada

Belirlendiği Gibi Yapılandırılmalı.Belirlendiği Gibi Yapılandırılmalı. Düzenli Olarak Yedekleme Yapılmalı ve Yedekler Düzenli Olarak Yedekleme Yapılmalı ve Yedekler

Kontrol Edilmeli.(ör:Database Backup)Kontrol Edilmeli.(ör:Database Backup) Gerek Duyulan Güvenlik Uygulamaları KullanılmalıGerek Duyulan Güvenlik Uygulamaları Kullanılmalı

Güvenlik DuvarıGüvenlik Duvarı Saldırı Tespit Sistemi(IDS)Saldırı Tespit Sistemi(IDS) Saldırı Koruma Sistemi(IPS)Saldırı Koruma Sistemi(IPS) Anti-Virüs,AntiSpam,Anti Spyware SistemiAnti-Virüs,AntiSpam,Anti Spyware Sistemi

Ağ Düzenli Olarak Denetlenmeli ve İzlenmeli(Sniffer Ağ Düzenli Olarak Denetlenmeli ve İzlenmeli(Sniffer vb…)vb…)

Çalışanlar Politikalar ve Uygulamalar Konusunda Çalışanlar Politikalar ve Uygulamalar Konusunda Eğitilmeli.Eğitilmeli.

Erişim listeleri(ACL),Kullanıcı kullanım kısıtlamaları.Erişim listeleri(ACL),Kullanıcı kullanım kısıtlamaları.

Listelenen önlemler alındığında daha Listelenen önlemler alındığında daha verimli ve güvenli bir ağ elde edilir.verimli ve güvenli bir ağ elde edilir.

Çeşitli saldırı yöntemlerini gördük, Çeşitli saldırı yöntemlerini gördük, önemli olan saldırının sisteme büyük önemli olan saldırının sisteme büyük zararlar vermesine engel olmaktır,bunun zararlar vermesine engel olmaktır,bunun için alarm sistemlerine sahip olan saldırı için alarm sistemlerine sahip olan saldırı tespit sistemleri kullanılır. tespit sistemleri kullanılır.

Şimdi güvenlik önlemlerinden saldırı Şimdi güvenlik önlemlerinden saldırı tespit sistemleri inceleyelim.tespit sistemleri inceleyelim.

Saldırı Tespit SistemiSaldırı Tespit Sistemi

Internet veya yerel ağdan gelebilecek, Internet veya yerel ağdan gelebilecek, ağdaki sistemlere zarar verebilecek, ağdaki sistemlere zarar verebilecek, çeşitli paket ve verilerden oluşan çeşitli paket ve verilerden oluşan saldırıları fark etmek üzere tasarlanmış saldırıları fark etmek üzere tasarlanmış sistemlerdir. Temel amaçları saldırıyı sistemlerdir. Temel amaçları saldırıyı tespit etmek ve bunu ilgili kişilere tespit etmek ve bunu ilgili kişilere mail, sms vs. mesajlarla iletmektir. mail, sms vs. mesajlarla iletmektir.

Saldırı Tespit Sistemleri çeşitli Saldırı Tespit Sistemleri çeşitli yazılımlardır.yazılımlardır.

Saldırı Tespit SistemleriSaldırı Tespit Sistemleri

Saldırı tespiti ile ilgili yaklaşımı ikiye Saldırı tespiti ile ilgili yaklaşımı ikiye ayırırızayırırız..

Kalıp Eşleştirme (Signature) Kalıp Eşleştirme (Signature) Sistemleri:Sistemleri: Önceden tespit edilmiş Önceden tespit edilmiş saldırıların eş zamanlı olarak işleyici saldırıların eş zamanlı olarak işleyici tarafından karşılaştırılmasını esas tarafından karşılaştırılmasını esas alır.Sistemde saldırılar için bir veritabanı alır.Sistemde saldırılar için bir veritabanı bulunur.bulunur.

Yeni saldırılar tespit edilemez. Yeni saldırılar tespit edilemez.

Ör:\ Snort vb.Ör:\ Snort vb.

Anormallik Tespiti:Anormallik Tespiti:Sistemi önce Sistemi önce öğrenen, istatistiksel olarak normal öğrenen, istatistiksel olarak normal çalışma yapısını çıkaran sistemlerdir. çalışma yapısını çıkaran sistemlerdir. Buna göre anormal davranışları Buna göre anormal davranışları yakalarlar. Saldırıları tanımak için yakalarlar. Saldırıları tanımak için normal kullanım örüntülerinden sapma normal kullanım örüntülerinden sapma yapanların bulunması şeklindedir.yapanların bulunması şeklindedir.

Ör:\ Cylant Secure, NFR(Network Ör:\ Cylant Secure, NFR(Network Flight Recorder) vb. Flight Recorder) vb.

Saldırı Tespit Sisteminin Saldırı Tespit Sisteminin Faydaları Faydaları

Ağdaki saldırıları bulmada ve Ağdaki saldırıları bulmada ve engellemede en büyük yardımcılardır.engellemede en büyük yardımcılardır.

Güvenlik duvarları ve yönlendiriciler Güvenlik duvarları ve yönlendiriciler gibi pasif güvenlik cihazları değildirler. gibi pasif güvenlik cihazları değildirler.

Aktif olarak raporlama, engelleme ve Aktif olarak raporlama, engelleme ve öğrenme gibi işlevleri yerine getirirler.öğrenme gibi işlevleri yerine getirirler.

Saldırı davranışlarından güvenlik Saldırı davranışlarından güvenlik zaafları bulunabilmektedir.Hangi zaafları bulunabilmektedir.Hangi noktaların güçlendirilmesi gerektiği noktaların güçlendirilmesi gerektiği bulunabilir.bulunabilir.

Bu yaklaşımların ana problemleri ise Bu yaklaşımların ana problemleri ise şunlardır: şunlardır:

Kötüye kullanım tespitinde bilinen Kötüye kullanım tespitinde bilinen saldırı örüntüleri elle kodlanmak saldırı örüntüleri elle kodlanmak zorunda ve ilk kez yapılan saldırıların zorunda ve ilk kez yapılan saldırıların tespit edilmesi mümkün olamamaktadır. tespit edilmesi mümkün olamamaktadır. Anormallik tespitinde ise olaylar Anormallik tespitinde ise olaylar arasındaki ilişkilerin yakalanması arasındaki ilişkilerin yakalanması mümkün olamamaktadır.mümkün olamamaktadır.

Saldırı tespiti için bir başka yaklaşım veri Saldırı tespiti için bir başka yaklaşım veri madenciliği yaklaşımıdır. Veri madenciliği, madenciliği yaklaşımıdır. Veri madenciliği, büyük miktardaki veriden anlamlı bilginin açığa büyük miktardaki veriden anlamlı bilginin açığa çıkarılmasıdır. Veri madenciliği tabanlı çıkarılmasıdır. Veri madenciliği tabanlı yaklaşımda öğrenim ve tespit ajanları yaklaşımda öğrenim ve tespit ajanları bulunmaktadır. Bu yaklaşım akıllı ajan tabanlı bulunmaktadır. Bu yaklaşım akıllı ajan tabanlı bir yaklaşımdır. Öğrenim ajanları, tespit bir yaklaşımdır. Öğrenim ajanları, tespit modelleri ile devamlı eğitilir. Tespit ajanları ise modelleri ile devamlı eğitilir. Tespit ajanları ise saldırıların tespit için güncellenmiş modeller saldırıların tespit için güncellenmiş modeller kullanırlar.kullanırlar.

Saldırı tespitinde veri madenciliği Saldırı tespitinde veri madenciliği kullanımının sebepleri ise şunlardır:kullanımının sebepleri ise şunlardır:

Veri merkezli bakış açısından Veri merkezli bakış açısından bakıldığında saldırı tespiti bir veri analiz bakıldığında saldırı tespiti bir veri analiz işidir.işidir.

İstisna saptanması ve hata/alarm İstisna saptanması ve hata/alarm yönetimi gibi başarılı uygulamaları yerine yönetimi gibi başarılı uygulamaları yerine getirir.getirir.

Saldırı Tespit Sisteminin Saldırı Tespit Sisteminin ProblemleriProblemleri

Saldırı tespit sistemleri birçok avantaja Saldırı tespit sistemleri birçok avantaja

sahip olmakla birlikte bazı problemleri de sahip olmakla birlikte bazı problemleri de bulunmaktadır.bulunmaktadır.

Kötüye kullanım tespiti tabanlı yaklaşımda Kötüye kullanım tespiti tabanlı yaklaşımda saldırı örüntüleri elle kodlanmak zorundadır saldırı örüntüleri elle kodlanmak zorundadır ve ilk kez yapılan saldırılar (novel attacks) ve ilk kez yapılan saldırılar (novel attacks) tanınamamaktadır.tanınamamaktadır.

Anormallik tespiti tabanlı yaklaşımda Anormallik tespiti tabanlı yaklaşımda ise olaylar arasında ilişki kurmak ise olaylar arasında ilişki kurmak mümkün olamamaktadır.mümkün olamamaktadır.

Saldırı tespit sistemleri önemli ölçüde Saldırı tespit sistemleri önemli ölçüde yanlış alarm üretmektedirler (false yanlış alarm üretmektedirler (false alarm). alarm).

Üzerinde veri madenciliği yapılacak Üzerinde veri madenciliği yapılacak saldırı verisi fazla olduğunda sistem saldırı verisi fazla olduğunda sistem etkin olarak çalışamamaktadır.etkin olarak çalışamamaktadır.

Veri madenciliği yaklaşımlı saldırı Veri madenciliği yaklaşımlı saldırı tespitinin false positive (aslında saldırı tespitinin false positive (aslında saldırı meydana gelmediği halde STS meydana gelmediği halde STS tarafından sanki bir saldırı varmış gibi tarafından sanki bir saldırı varmış gibi alarm verilmesi) oranı daha yüksektir alarm verilmesi) oranı daha yüksektir ve bu tip tespit, eğitim ile ve bu tip tespit, eğitim ile değerlendirme aşamalarında etkin değerlendirme aşamalarında etkin olmama eğilimindedir. Ayrıca daha olmama eğilimindedir. Ayrıca daha karmaşıktır.karmaşıktır.

Kural tabanlı saldırı tespit sistemleri uzman Kural tabanlı saldırı tespit sistemleri uzman bilgilerine dayalı olarak kodlandıkları için bilgilerine dayalı olarak kodlandıkları için değiştirilmeleri oldukça pahalı ve yavaştır.değiştirilmeleri oldukça pahalı ve yavaştır.

Sunucu günlükleri kimi zaman güvenli Sunucu günlükleri kimi zaman güvenli olamadığından sunucu günlüklerine dayalı olamadığından sunucu günlüklerine dayalı saldırı tespiti de yanlış sonuçlar saldırı tespiti de yanlış sonuçlar verebilmektedir (sunucu günlükleri tehdit verebilmektedir (sunucu günlükleri tehdit altında bulunabilir, birileri kanıtları ortadan altında bulunabilir, birileri kanıtları ortadan kaldırmak isteyebilir).kaldırmak isteyebilir).

Veri MadenciliğiVeri Madenciliği

Büyük hacimli veri içerisinden; anlamlı, gizli kalmış Büyük hacimli veri içerisinden; anlamlı, gizli kalmış ve kuruluşun karar destek sistemi için faydalı ve kuruluşun karar destek sistemi için faydalı olabilecek bilgilerin çıkarıldığı ve geri planında olabilecek bilgilerin çıkarıldığı ve geri planında istatistik, yapay zeka ve veritabanlarının bulunduğu istatistik, yapay zeka ve veritabanlarının bulunduğu veri analiz tekniğine Veri Madenciliği (Data Mining) veri analiz tekniğine Veri Madenciliği (Data Mining) adı verilir. Veri madenciliği tekniğinin web verisine adı verilir. Veri madenciliği tekniğinin web verisine uygulanmasına ise web madenciliği adı uygulanmasına ise web madenciliği adı verilmektedir. Web madenciliği temel olarak üç alt verilmektedir. Web madenciliği temel olarak üç alt alana ayrılır:alana ayrılır:

- Web İçerik Madenciliği- Web İçerik Madenciliği

- Web Yapı Madenciliği- Web Yapı Madenciliği

- Web Kullanım Madenciliği- Web Kullanım Madenciliği

Veri madenciliğinin alt alanlarından Veri madenciliğinin alt alanlarından birisi olan web kullanım madenciliği birisi olan web kullanım madenciliği web sunucu günlük verileri üzerinde web sunucu günlük verileri üzerinde çalışır. Bu çalışma sonucunda kullanıcı çalışır. Bu çalışma sonucunda kullanıcı erişim örüntüleri bulunur. Web erişim örüntüleri bulunur. Web kullanım madenciliği sayesinde kullanım madenciliği sayesinde bulunan kullanıcı davranışları saldırı bulunan kullanıcı davranışları saldırı tespitinde de etkin olarak tespitinde de etkin olarak kullanılabilmektedir.kullanılabilmektedir.

Web Kullanım Madenciliği Web Kullanım Madenciliği ile Saldırı Tespitiile Saldırı Tespiti

Veri madenciliği ile saldırı tespiti Veri madenciliği ile saldırı tespiti yapılmasının en önemli bir tane nedeni vardır yapılmasının en önemli bir tane nedeni vardır o da daha önceden meydana gelmemiş bir o da daha önceden meydana gelmemiş bir saldırıyı tanımadır. Veri madenciliği saldırıyı tanımadır. Veri madenciliği kullandığı kümeleme tekniği ile ilk olarak kullandığı kümeleme tekniği ile ilk olarak meydana gelen bir durumu tanıyabilmektedir. meydana gelen bir durumu tanıyabilmektedir. Kümelemede kullanıcılar genel özelliklerine Kümelemede kullanıcılar genel özelliklerine dayalı olarak gruplara ayrılmaktadırlar.dayalı olarak gruplara ayrılmaktadırlar.

Saldırının Tespit Yerlerine Saldırının Tespit Yerlerine Göre SaldırılarGöre Saldırılar

Saldırı tespit sistemleri Saldırı tespit sistemleri saldırının tespit edildiği noktaya saldırının tespit edildiği noktaya göre iki grupta incelenebilir. göre iki grupta incelenebilir.

1-Ağ tabanlı1-Ağ tabanlı

2-Host tabanlı2-Host tabanlı

1. Ağ Tabanlı (Network Based): Bir bilgisayar ağının tamamını ya da belli bir kısmını izlerler. Ağ üzerinde herhangi bir noktadan çalıştırılabilirler.

2. Konak Tabanlı (Host Based): Belli bir bilgisayarı izlerler. Bu tür sistemler, izlenecek olan bilgisayar üzerinde çalışırlar.İzlenen bilgisayarı kullanan kullanıcıların yapacakları hatalardan dolayı oluşacak zararları önlemeye yöneliktirler.

STS`LERİN STS`LERİN KURULUMLARIKURULUMLARI

Saldırı tespit teknolojisi her büyük Saldırı tespit teknolojisi her büyük kuruluşun bilgisayar ağ güvenliği kuruluşun bilgisayar ağ güvenliği yapılandırmasına gerekli bir yapılandırmasına gerekli bir eklentidir. eklentidir.

Etkili bir STS kurulumu dikkatli bir Etkili bir STS kurulumu dikkatli bir plan, hazırlanma, prototip plan, hazırlanma, prototip oluşturma, test etme ve oluşturma, test etme ve özelleştirilmiş deneyimler gerektirir.özelleştirilmiş deneyimler gerektirir.

AĞ TABANLI STS`LERİN AĞ TABANLI STS`LERİN KURULUMUKURULUMU

Ağ tabanlı STS`lerin kurulumu sırasında Ağ tabanlı STS`lerin kurulumu sırasında karşılaşılacak olan bir soru sistem sensörlerinin karşılaşılacak olan bir soru sistem sensörlerinin nerede konumlandırılacağıdır. Ağ tabanlı STS`leri nerede konumlandırılacağıdır. Ağ tabanlı STS`leri yerleştirmede yerine göre farklı avantajları olan yerleştirmede yerine göre farklı avantajları olan birçok seçenek mevcuttur.birçok seçenek mevcuttur.

Ağdaki her bir harici güvenlik duvarının arkası için Ağdaki her bir harici güvenlik duvarının arkası için avantajlar (Location 1 için) avantajlar (Location 1 için)

Dış dünyadan kaynaklanan, ağın çevre savunmasını Dış dünyadan kaynaklanan, ağın çevre savunmasını delip geçen saldırıları görür.delip geçen saldırıları görür.

Ağ firewall poliçesi ve performansıyla problemleri Ağ firewall poliçesi ve performansıyla problemleri aydınlatır.aydınlatır.

Web ve ftp sunucularını hedef alan saldırıları görür.Web ve ftp sunucularını hedef alan saldırıları görür. Eğer gelen saldırılar önlenmeyecek durumda olsalar Eğer gelen saldırılar önlenmeyecek durumda olsalar

dahi dışarıya giden trafiği düzenleyebilir.dahi dışarıya giden trafiği düzenleyebilir.

Harici güvenlik duvarının dışı için Harici güvenlik duvarının dışı için avantajlar (Location 2 için)avantajlar (Location 2 için)

Ağı hedef alan İnternet kaynaklı Ağı hedef alan İnternet kaynaklı saldırıların doküman numaraları.saldırıların doküman numaraları.

Ağı hedef alan İnternet kaynaklı Ağı hedef alan İnternet kaynaklı saldırıların doküman tipleri.saldırıların doküman tipleri.

Büyük ağ omurgası için avantajlar (Location 3 Büyük ağ omurgası için avantajlar (Location 3 için)için)

Ağ trafiğinin büyük bir miktarını görüntüler, Ağ trafiğinin büyük bir miktarını görüntüler, böylece spoofing saldırılarının olabilirlikleri böylece spoofing saldırılarının olabilirlikleri artar.artar.

Kuruluşun güvenlik çemberinde yetkili Kuruluşun güvenlik çemberinde yetkili kullanıcıların yetkisinin olmadığı/yetkisini aşan kullanıcıların yetkisinin olmadığı/yetkisini aşan aktivitelerini tespit eder.aktivitelerini tespit eder.

Kritik alt ağlar için avantajlar (Location 4 için) Kritik alt ağlar için avantajlar (Location 4 için) Kritik sistem ve kaynakları hedef alan Kritik sistem ve kaynakları hedef alan

saldırıları tespit eder.saldırıları tespit eder.

BİLGİSAYAR TABANLI BİLGİSAYAR TABANLI STS`LERİN KURULUMUSTS`LERİN KURULUMU

Ağ tabanlı STS`ler çalıştırılınca, buna bilgisayar Ağ tabanlı STS`ler çalıştırılınca, buna bilgisayar tabanlı STS`lerin eklenmesi sistemler için tabanlı STS`lerin eklenmesi sistemler için koruma seviyesini yükseltebilir. koruma seviyesini yükseltebilir. Bununla Bununla birlikte, bilgisayar tabanlı STS`lerin her birlikte, bilgisayar tabanlı STS`lerin her bilgisayara kurulumu ve yapılandırılması bilgisayara kurulumu ve yapılandırılması çok büyük bir zaman kaybıdır.çok büyük bir zaman kaybıdır. Bundan dolayı Bundan dolayı kuruluşların bilgisayar tabanlı STS`leri kuruluşların bilgisayar tabanlı STS`leri öncelikle kritik derecede önemi bulunan öncelikle kritik derecede önemi bulunan sunuculara kurmaları tavsiye edilir. Bu hem sunuculara kurmaları tavsiye edilir. Bu hem maliyeti düşürecek hem de personelin önemli maliyeti düşürecek hem de personelin önemli sunucuların alarmları üzerine odaklanmasını sunucuların alarmları üzerine odaklanmasını sağlayacaktır.sağlayacaktır.

Bilgisayar tabanlı STS`ler normal Bilgisayar tabanlı STS`ler normal çalışma durumuna geldiklerinde, çalışma durumuna geldiklerinde, daha fazla güvenlik eklentileri ilave daha fazla güvenlik eklentileri ilave edilebilir. edilebilir. Bunlar STS`lere merkezi Bunlar STS`lere merkezi yönetim ve rapor oluşturma yönetim ve rapor oluşturma fonksiyonları getirecektir.fonksiyonları getirecektir. Bu Bu özelliklerde büyük bilgisayar özelliklerde büyük bilgisayar kümelerinin alarm yönetimlerinin kümelerinin alarm yönetimlerinin karmaşıklılarını azaltacaktır.karmaşıklılarını azaltacaktır.

ALARM STRATEJİLERİALARM STRATEJİLERİ

Son olarak, STS`ler yapılandırılırken Son olarak, STS`ler yapılandırılırken hangi alarm özelliklerinin hangi önemli hangi alarm özelliklerinin hangi önemli durumlar olduğunda kullanılacağı durumlar olduğunda kullanılacağı sorusudur. STS`lerin birçoğu sorusudur. STS`lerin birçoğu ayarlanabilir alarm özellikleriyle birlikte ayarlanabilir alarm özellikleriyle birlikte gelir. Bunlar büyük çeşitlilikle alarm gelir. Bunlar büyük çeşitlilikle alarm seçenekleri, e-posta, paging, ağ yönetim seçenekleri, e-posta, paging, ağ yönetim protokol kapanları ve hatta saldırı protokol kapanları ve hatta saldırı kaynaklarının otomatikleştirilmiş kaynaklarının otomatikleştirilmiş engellenmesidir.engellenmesidir.

KaynakçaKaynakça

www.internetdergisi.comwww.internetdergisi.com Bilgisayar Ağ Sistemleri Bilgisayar Ağ Sistemleri

Güvenliği ,Öğr.Gör Erhan Güvenliği ,Öğr.Gör Erhan Kahya,Trakya Üniversitesi.Kahya,Trakya Üniversitesi.

Güvenlik riskleri ve saldırı Güvenlik riskleri ve saldırı yöntemleri,Fatih Özavcı. yöntemleri,Fatih Özavcı.

Çeşitli Kaynaklar…Çeşitli Kaynaklar…

Teşekkürler…Teşekkürler…

Sorular ?Sorular ?