Güvenlik Duvarı(Firewall):
Firewall'lar, yerel ağınızla dış ağ arasındaki güvenlik kontrol
yazılımları/cihazlarıdır. Firewall ilk kurulduğunda bu nokta üzerindeki
bütün geçişleri durdurur. Daha önceden belirlenen politikalar dahilinde
hangi data paketinin geçip geçmeyeceği, hangi geçişlerde parola
doğrulaması yapılacağı gibi bilgiler firewall kural tablolarına eklenir.
Bu sayede sisteme ulaşan kişi ve bilgi trafiği kontrol altına alınmış
olur. İçerideki/dışarıdaki sistemlere kimlerin girip giremeyeceğine,
giren kişilerin hangi bilgisayarları ve hangi servisleri
kullanabileceğini firewall üzerindeki kurallar belirler.
Firewall yazılımı, adresler arası dönüştürme-maskeleme(NAT) sayesinde
LAN(Local Area Network) deki cihazların IP adreslerini gizleyerek tek
bir IP ile dış ağlara erişimini sağlar. Adres saklama ve adres
yönlendirme işlemleri firewall üzerinden yapılabilir. Böylece dış
dünyadaki kullanıcılar yerel ağdaki kritik topoloji yapısını ve IP
bilgisini edinemezler. Firewall yazılımı kendi üzerinde belirtilmiş
şüpheli durumlarda sorumluları uyarabilir(e-mail, SNMP, vb.).
Gelişmiş firewall yazılımları üzerinden geçen bütün etkinlikleri daha
sonradan incelenebilmesi için kaydederler. Ek bir lisans yada modül ile
birlikte VPN(Virtual Private Network) denilen yerel ağa gidip gelen
bilgilerin şifrelenmesi ile uzak ofislerden yada evden internet
üzerinden güvenli bir şekilde şirket bilgilerine ulaşmak mail vb.
servisleri kullanmak mümkün olmaktadır. Bu şekilde daha pahalı çözümler
yerine(lised line yada frame relay) Internet kullanılabilir. Yalnız
uzaktaki kullanıcıların güvenliği burada ön plana çıkmaktadır. Dışarıdan
bağlanan kişinin gerçekten sizin belirlediğiniz yetkili kişi olup
olmadığı önemlidir. Bu kişilerin şifresini ele geçirenler sisteminize o
kişilerin haklarıyla ulaşabilirler. Bu noktada kişisel firewall ve
dinamik şifre üreten tokenlar devrede olmalıdır.
Günümüzdeki gelişmiş firewall sistemleri içerik denetleme işlemi
yapmamakta bu tip hizmetleri firewall sistemleriyle entegre çalışan
diğer güvenlik sistemlerine yönlendirmektedir. Bu sayede güvenlik
firmaları sadece odaklandıkları ve profesyonel oldukları konularda
hizmet vermekte, kullanıcı da bu ayrık sistemlerden kendisi için uygun
olan çözümleri tercih etmektedir. Örneğin gelen bilgilerin içerisinde
virüs olup olmadığı yada atak yapılıp yapılmadığı firewall tarafından
kontrol edilmez. Kurallarda belirtilmişse kendisi ile entegre çalışan
sisteme data paketini yönlendirir. Tarama işlemi diğer makinada
yapıldıktan sonra paket tekrar firewall a geri döner.
Firewall yazılımının yönetim konsolu merkezi yönetim amaçlı olarak
ayrı makinelere yüklenebilir. Yönetim ile ilgili kurallar, trafikle
ilgili kayıtlar(log) ayrı sistemlerde tutulabilir. Kullanıcı grafik ara
yüzü ile uzak makinelerden kolayca yönetim yapılabilir ve mevcut
kullanıcı bilgileri (LDAP) uygulamalarından alınabilir. Aktif
bağlantılar görüntülenip gerektiğinde ana güvenlik politikalarına engel
olmadan bağlantılara müdahale edilebilir. Bant genişliği yönetimi
sağlayan sistemlerle entegre olabilir.
Firewall yazılımları/cihazları güvenliğin yapı taşları olup sistem
içerisindeki diğer güvenlik yazılım/cihazları ile uyumlu çalışmakta ve
gelecekteki güvenlik teknolojilerine taban teşkil etmektedirler.
Firewall yazılımı kesinlikle şart olmasına rağmen güvenlik için tek
başına yeterli değildir.
VPN (Virtual Private Networks)
VPN sayesinde hem maliyetlerimizi azaltmamız hem de daha önceden
güvenli olmadığı, ayrıca pahalı olduğu için yapamadığımız farklı
mekanlardaki PC ve LAN'ları internet üzerinden aynı platformlara
taşımamız mümkün. Bu sayede evimizdeyken şirketimize bağlanıp sanki
oradaymış gibi güvenli bir şekilde şirket kaynaklarına ulaşmamız,
maillerimizi kontrol etmemiz, Intranet'i kullanmamız mümkün olmaktadır.
Bu sayede mobil çalışanlarımızı, uzak bürolarımızı, bayilerimizi, iş
ortaklarımızı bizim belirlediğimiz kriterlere göre şirket içi
kaynaklarından faydalanmalarını sağlayabiliriz. Lised lines ve
frame-relay hatların pahalı çözümlerine alternatif olarak Internet'i
kullanabiliyoruz. Tabi akla gelen ilk soru Internet üzerinde bilgi
alışverişi yapılırken bilgilerimiz ne derece güvende. VPN
teknolojilerinde taraflar arasında karşılıklı şifreleme söz konusu ve bu
şifreleme teknolojileri oldukça gelişmiş durumda. Güvenlik için
bilgiler karşılıklı dijital olarak imzalanır, sonra bu paketler uluslar
arası standartlara uygun çeşitli protokollerden biri tarafından
şifrelenir ve karşı tarafta da benzer şekilde açılır. Yalnız VPN sadece
bilgi gidip gelmesi sırasındaki güvenliği kapsadığından karşılıklı
yapıların firewallar tarafından korunması gerekmektedir. Sizin bölgeniz
çok güvenli olabilir ama size bağlanan evdeki bilgisayarın güvenliği de
önemlidir. Çünkü dışarıdan içeri normal şartlarda sızamayan kişiler
zincirin en zayıf halkasından içeri sızabilirler.
VPN uygulamalarında dikkat edilmesi gereken karşılıklı bağlantılar
sırasında statik şifre kullanılmamasına dikkat edilmesi token/smart card
benzeri çözümlerle desteklenmesi gerekir.
Antivirüs
Ev kullanıcılarından büyük şirketlere herkes antivirüs çözümü
kullanması gerektiğinin farkındadır. Kurumların ihtiyaçlarını ev
kullanıcıları gibi düşünemeyiz. Artık eski sistem desktop bazlı
korumalar tek başına yeterli olmamaktadır. Örneğin bu tip bir sistem
bilgisayarın açılması sırasında daha virüs koruma yazılımı devreye
girmeden ağdaki virüslenmiş bir sistem tarafından dosya paylaşımından
faydalanarak sisteme girip antivirüs korumasını devre dışı
bırakabilmektedir. Yada son günlerde tanık olduğumuz sistem açıklarını
kullanarak yayılan "worm"larda olduğu gibi. Bu yüzden yeni
teknolojilerde virüslerin merkezi bir yapı tarafından daha yerel ağa
girmeden önce taranması fikri esas alınmaktadır.
Virüslerin en çok yayıldığı servisler olan e-mail, http ve ftp
trafikleri firewall mantığı esas alınarak antivirüs ağ geçidine
yönlendirilir. Buradaki tarama işleminden sonra gerekli yerlere
yönlendirilme yapılır. Bu sistemle dışarıdan gelecek olan virüsler
engellenmiş olur. Mail sunucuları üzerine kurulan antivirüs sistemiyle
yerel ağ içerisinde e-mail aracılığıyla dolaşan virüslerde etkisiz hale
getirilmiş olur.
Sunucu bilgisayarları üzerine kurulacak virüs koruma yazılımları ve
şirket çalışanlarının sistemlerini kontrol edecek yazılımlarla kurumsal
antivirüs çözümü sağlanmış olur.
Bütün bu virüs sistemlerinin tek bir merkezi noktadan kontrolü ve tek
bir noktadan antivirüs güncelleme dosyalarının alınıp dağıtılması
yapılabilmektedir. İstenirse firewall la entegre
çalıştırılabilmektedirler. Otomatik olarak gerektiğinde her saat başı
yeni güncelleme dosyaları alınabilmektedir. Bu sistemlerle ayrıca
rahatsız edici mailleri engellemek, içerdiği kelimelere yada eklerine
göre silme/arşivleme vb. işlemler yapılabilmekte kısaca mail yönetimi
sağlanabilmektedir.
Kurumsal Antivirüs Koruması seçerken dikkat edilmesi gerekenler
Virus taraması yaparken performans kaybı yaşanmamalıdır. Mümkünse
uluslararası sertifikaları sorulmalıdır.Her türlü zararlı kodlara karşı
tarama yapabilmelidir (Trojans, droppers, ActiveX ve Java) Müşteri
tarafına her türlü yoldan zararlı kodların ulaşabileceği düşünülmeli
sunulan çözüm bütün zararlı kodları tesirsiz hale getirebilmelidir. Sizi
virüslerin çoğundan değil hepsinden koruyan sistemlere ihtiyacınız
olacaktır. Sorunla karşılaşıldığında servisini ve desteğini
alabileceğiniz ürünlere yönelin. Sisteminize entegre olup olmayacağını
sorun çünkü yeni teknoloji virüs tarayıcılar firewall sistemleriyle
proxy lerle mail sunucularıyla entegre çalışabilmektedir Bütün virüs
sistemini mümkünse tek yerden yönetebileceğiniz sistemleri seçmeniz
avantajınıza olacaktır. Merkezi raporlama ve otomatik güncelleme (yeni
virüslere karşı) yapması da işlerinizi kolaylaştıracaktır.
IDS (Saldırı Tespit Sistemleri)
Saldırı Tespit Sistemleri, Internet dünyasının gelişim sürecinde
özellikle tüm dünyada kullanılan web trafiğinin artması ve de web
sayfalarının popüler hale gelmesi ile birlikte kişisel ya da tüzel
sayfalara yapılan saldırılar sonucu ihtiyaç duyulan en önemli konulardan
biri haline gelmiştir. Bununla birlikte kurum ya da kuruluşların sahip
oldukları ve tüm dünyaya açık tuttukları mail, dns, database gibi
sunucularının benzeri saldırılara maruz kalabilecekleri ihtimali yine
Saldırı Tespit Sistemlerini Internet Güvenliği alanının vazgeçilmez bir
parçası haline getirmiştir. Kurumların sahip oldukları çalışan sayısı ve
bu çalışanların kendi kurumlarındaki kritik değer taşıyan yapılara
saldırabilme ihtimalleri de iç ağın ya da tek tek kritik sunucuların
kontrol altında tutulma gerekliliğini beraberinde getirir.
IDS(Intrusion Detection System) genel olarak iki tip olarak karşımıza çıkar; Sunucu tabanlı IDS ve Ağ tabanlı IDS.
Ağ tabanlı IDS in görevi, bir kurum yada kuruluşun sahip olduğu ağ
yada ağlara yönlenmiş olan tüm trafiği algılayarak, bu ağa doğru geçen
her bir data paketinin içeriğini sorgulamak, bir atak olup olmadığına
karar vererek kaydını alabilmek, kendisi ya da konfigüre edebildiği
başka bir aktif cihaz tarafından atakları kesmek, sistem yöneticisini
bilgilendirmek ve ilgili raporlar oluşturabilmektir. IDS bir data
paketinin atak olup olmadığını, kendi atak veritabanında bulunan atak
tipleriyle karşılaştırarak anlar ve karar verir. Sonuç olarak bir IDS in
en önemli bileşeni bu atak veritabanıdır. Söz konusu Atak veritabanı
nın içeriği, ne kadar sıklıkla ve doğrulukla güncellendiği ve kimin
tarafından oluşturulduğu/güncellendiği en önemli noktadır. Bu sebeple
doğru üretici firma ve ekip seçimi çok önemlidir.
Sunucu Tabanlı IDS in görevi ise kurulu bulunduğu sunucuya doğru
yönlenmiş bulunan trafiği yine üzerinde bulunan atak veritabanı(İşletim
Sistemine göre özelleştirilmiş) baz alınarak dinlemesi ve atakları
sezerek cevap vermesidir.
Genel olarak IDS iki veya daha fazla makineden oluşan bir yapıdır.
Performans artırımı sebebiyle Merkezi Kontrol ve Kayıt mekanizmasının
bir makinede, Trafiği dinleyen ağ tabanlı modül veya Sunucu tabanlı
modül ayrı makinelerde tutulur.
IDS' ler, dinlediği trafiğin kaydını tutarak, gerektiğinde bu
kayıtları baz alarak istenilen şekilde raporlar çıkartabilmektedir. Atak
sezdiklerinde atakları önleyebilir, yöneticilerine mail yada benzeri
yollarla haber verebilirler, önceden oluşturulmuş bir program
çalıştırabilir ve telnet benzeri bağlantıları kayıt ederek sonrasında
izlenmesini sağlayabilirler. Tüm bu özellikleriyle IDS ler sistemin
güvenli bir şekilde işlemesine yardımcı olur ve Sistem Yöneticilerinin
Sistemi güçlü bir şekilde izlemesine yardımcı olmaktadırlar.
Web filtreleme çözümleri (URL Filtering)
Bugün çalışanların çoğunun Internet'e erişim hakları var. Fakat
bunların hangi sayfalara gittikleri, oralarda ne kadar zaman
geçirdikleri bunların ne kadarının işle ilgili olduğu gibi soruların
yanıtlanması gerekiyor. Son zamanlarda yapılan bir çok araştırma iş günü
içerisinde yapılan web sayfası ziyaretlerinin çoğunun işle alakalı
olmadığı, sakıncalı sayfa ziyaretlerinin sistemlere virus/trojan
bulaşmasına, gereksiz bant genişliği harcanmasına ve yasal olmayan
sitelerden indirilen programların sistemlere sahte lisanslarla
kurulmasına (ki bu programların lisanssız yada sahte lisanslarla
kurulmasından sistem yöneticileri ve şirket sahipleri BSA ya karşı
sorumlular) sebep olmakta.
Bütün bunları engelleyebilmek için URL filtering denilen yazılımlar
kullanılmakta. Bu yazılımların her gün güncellenen veri tabanları
sayesinde dünyadaki çoğu web sayfaları sınıflandırılmış durumda. Bu
yazılımlar kişi, grup, IP adres aralıklarına kural tanımlamamızı
sağlamaktadır. Bu sayede daha önceden tanımladığımız kişilere hangi
zaman aralıklarında nerelere girebileceklerini belirlenebilir. Yada gün
içerisinde bizim belirlediğimiz kategoriler için zaman kotası uygulana
bilinir. Örneğin sabah 9:00-12:00 arası gazetelere yarım saat bakılma
izni (bu sayfalarda kalış zamanı kotadan düşürülür) 12:00-13:00 her yere
izin vb.. URL filtreleme yazılımlarıyla ayrıca anahtar kelime bazlı
sınırlandırma(örnegin mp3) yada manuel olarak sayfa eklenebilir.
Engellenen sayfalarla ilgili olarak kullanıcı karşısına
bilgilendirici bir ekran çıkar ve neden engellendiği yada hangi zaman
aralıklarında geçerli olduğu belirtilir. Burada daha önceden belirlenmiş
bir sayfaya yönlendirmekte mümkündür. Bu tür yazılımlarının raporlama
modülleri sayesinde kimlerin nerelere gittikleri oralarda ne kadar süre
boyunca kaldıkları gibi ayrıntılı bilgilere ulaşmak mümkündür.
Internetin pozitif kullanımı
* eMail
* eTicaret
* Araştırmalar
* Önemli gelişmeler
* Doküman alışverişi
* Web tabanlı uygulamalar
Negatif amaçlarla kullanım
. Desktop TV, BBG tarzı yapımlar
. Porno
. Hisse senedi
. Eğlence
. Alışveriş
. Kumar
. Müzik
. Spor
. Download
. Internette en çok aratılan üç kelime mp3, sex, hotmail (kaynak wordtracker.com)
. Çalışanların 54% ü gün içerisinde an az yarım saatlerini işle alakasız konularda internette sörf yapmaktadırlar
. Bu zamanın çoğu yetişkin sitelerinde geçmekte
. Yeni iş başvuruları yapılmakta
. Gezi siteleri ziyaret edilmekte
. Spor aktiviteleri takip edilmekte
. Konuşma odalarında bulunulmakta
. Hacker sayfaları ve hack araçlarının bulunduğu sayfalar ziyaret edilmekte
Güçlü Tanılama (Strong Authentication)
Gerçekten sistemlerinize kimlerin ulaştığını biliyor musunuz? Eğer
VPN, mail, Web sayfa erişimleri, uzak erişim (remote access) v.b.
bağlantılarınızda statik kullanıcı isimleri ve şifreler kullanıyorsanız
bundan tam olarak emin olamazsınız. Dışarıdan yapılan bağlantılarda
sizin verdiğiniz şifrelerin başkaları tarafından ele geçirilmesi yada
"brute force" denilen yöntemle şifrelerin bulunması söz konusudur. Güçlü
tanılama yöntemleri sisteminize erişenlerin kimliğinden emin olmanızı
sağlar.
Güçlü tanılama (Strong Authentication) nedir?:
Güçlü tanılama, bir kullanıcıyı tanırken en az iki metot kullanır. 3 metotla mevcut tanılama güçlendirilebilir:
. Sahip olduğunuz şey (Something you have)
Kapı anahtarı, ATM kartı veya token
. Bildiğiniz şey (Something you know )
Şifre, PIN numarası
. Biyometrik tanılama (Something you are)
Parmak izi, ses tanıma sistemleri, retina taramaları
Bu yöntemlerin her biri tek başına yeterli değildir mesela ATM
kartınızı kaybedebilirsiniz, şifreniz tahmin edilebilir. Biyometrik
tanılama güçlü bir yöntem olmasına rağmen halen pahalı ve açık noktaları
bulunabilmektedir. Bu yöntemlerden teki (single authentication) yerine
iki metodun birlikte kullanıldığı yöntemler "two-factor authentication"
yada "strong authentication" olarak bilinmektedir. Örneğin ATM
makineleri iki kombinasyonu birlikte kullanırlar plastik bir kard
(Something you have) ve bir PIN numarası (Something you know). Token ve
smart kartlar güçlü tanılama sistemleri kullanırlar. Token ve smart
kartların bir çok çeşidi bulunmakta
Smart Kartlar: Dünya üzerinde yaklaşık bir milyar kişi smart kart
teknolojisini banka hesapları, ödeme, telefon sistemleri, kişisel
bilgilerin saklanması(tıbbi kayıtlar gibi) için kullanıyor. Smart
kartlar ATM(banka) kartlarından çip yapısıyla ayrılır. ATM kartlarında
statik bilgi içeren manyetik bantlar bulunmaktadır. Smart kartlarda ise
küçük bir çip bulunmaktadır. Bu sayede çip içerisinde bilgilerin
saklanmasının yanında hesaplamalarda yapılabilmektedir. Manyetik
kartların dış yüzeylerinde bulunan bilgilerin kopyalanabilmeside
güvenlik açısından smart kart kullanımının gerekliliğini ortaya
koymaktadır. Bütün bilgilerin ve işlemlerin çip içerisinde yapılması ve
çipin kopyalanamaması smart kartın en büyük artıları arasında yer
almakta. Ayrıca smart kartınızdaki bilgilerinize ulaşmanız için
kartınızın PIN koduna ihtiyacınız var. Oldukça güvenli bu sistemlerin
tek dezavantajı smart kart okuyucuya ve yazılımına ihtiyaç duyulması.
Token-Tabanlı Uygulamalar: Token çözümleri gelecekte güvenlik
işlemlerinde zorunluluk olarak kaşımıza çıkacak. Şifrelerin bu kadar
kolay ele geçirilebilmesi yada şifre denemeleri sayesinde şifrelerin
bulunabilmesi her seferinde size başka şifre üreten sistemlerin
doğmasına yol açtı. Bu sayede şifrenizi ele geçiren bir kişi dahi onu
kullanamaz. Bunun için çeşitli yazılım yada fiziksel çözümler mevcut.
Dakikada bir değişen şifreler yada her düğmeye bastığınızda size yeni
bir şifre üreten tokenlar sayesinde şifrelerin çalınması yada başkaları
tarafından bilinmesi problemi ortadan kalkıyor. Ve tokenların çoğundaki
sistem bir PIN numarası ile korunuyor bu sayede tokenin kendisini
kaybetmeniz durumunda dahi sistem kendini koruyabiliyor. Bir çoğu
anahtarlık ve kredi kartı boyutlarında üretildiklerinden kolayca
yanınızda taşıyıp istenilen yerden başka bir sisteme gerek kalmadan
bağlantılarınızı güvenli bir şekilde yapabilirsiniz.