Kurumsal
This presentation is the property of its rightful owner.
Sponsored Links
1 / 59

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan PowerPoint PPT Presentation


  • 131 Views
  • Uploaded on
  • Presentation posted in: General

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan Ege Üniv. Kampüs Ağ Yöneticisi, ULAK-CSIRT üyesi ULAK-CSIRT http://csirt.ulakbim.gov.tr /. İÇERİK. 1 . Güvenlik Hakkında Temel Bilgiler 2. Neden Web Güvenliği 3. Kurumsal Web Güvenliği Modeli Standar t ları Oluşturma/Uygulama

Download Presentation

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Kurumsal web g venli i altyap s ar g r enis karaarslan

Kurumsal

Web Güvenliği Altyapısı

Ar. Gör. Enis Karaarslan

Ege Üniv. Kampüs Ağ Yöneticisi, ULAK-CSIRT üyesi

ULAK-CSIRT

http://csirt.ulakbim.gov.tr/


Kurumsal web g venli i altyap s ar g r enis karaarslan

İÇERİK

1. Güvenlik Hakkında Temel Bilgiler

2. Neden Web Güvenliği

3. Kurumsal Web Güvenliği Modeli

  • Standartları Oluşturma/Uygulama

  • Güvenli Kodlama

  • Eğitim / Sınama

  • Ağ / web sistem farkındalığı

  • Saldırı Saptama

  • Saldırı Engelleme

  • Kurtarma

  • Koordinasyon Merkezi


Er k devam

İÇERİK (devam)

4. Ağ ve Web Sistem Farkındalığı

5. ULAK-CSIRT Web Güvenliği Grubu

6. Sonuç


Kurumsal web g venli i altyap s ar g r enis karaarslan

1. Güvenlik Hakkında

Bazı Temel Bilgiler


Bilgi sistemi ve g venlik

SALDIRI

SALDIRGAN

GÜVENLİK

ÖNLEMLERİ

ZAYIFLIK

BİLGİ SİSTEMİ

KULLANICILAR

Bilgi Sistemi ve Güvenlik


Zay fl klar zmek

Zayıflıkları çözmek ...

  • Zayıflık: Her sistemde bilinen veya henüz bilinmeyen güvenlik açıkları vardır.

  • Zayıflığın öğrenilmesinden sonra, o zayıflığı kaldıracak önlemlerin (yama, ayar) uygulanması arasında geçen zaman önemlidir.


Bir zay fl k ve ya ananlar n kronolojik s radaki listesi

Bir zayıflık ve yaşananların kronolojik sıradaki listesi ...


Kurumsal web g venli i altyap s ar g r enis karaarslan

Güvenlik bir ürün değil,

bir süreçtir.

Security is a process, not a product.

Bruce Schneier


Temel g venlik nlemleri

Temel Güvenlik Önlemleri

  • Bilgi sistemlerinin güvenlik düşünülerek tasarlanması ve uygulanması

    (secure by design)

  • Zayıflıkların/saldırıların tespiti

  • Mümkün olduğunca saldırıların engellenmesi,

  • Riskin azaltılması

  • Saldırganın işinin zorlaştırılması


G venlik esaslar

Güvenlik esasları ...

  • Bir zincir, ancak en zayıf halkası kadar güçlüdür.

  • O zaman tek bir zincire güvenmemek gerekir ...

  • Mümkün olduğunca farklı önlemler alınmalıdır.


Ok katmanl g venlik

Çok Katmanlı Güvenlik


Ok katmanl g venlik rne i

Çok Katmanlı Güvenlik Örneği

Her alt katman da birçok katmandan oluşabilir.


G venlik ve kullan l l k

Güvenlik ve kullanışlılık?

Tabii ki karikatürdeki gibi olmamalıdır.

Güvenlik önlemleri, sistemin kullanılmasını zor duruma getirmemelidir.


Kurumsal web g venli i altyap s ar g r enis karaarslan

2. Neden Web Güvenliği ?


Web tabanl sistemler

Web Tabanlı Sistemler

  • Web (sunucu) kullanımı artıyor

    • bilgi sistemleri, ağ cihazları ... Vb

    • Web uygulamalarının ve bu ortamdaki bilginin artması

    • Kurumun dünyaya açılan penceresi

  • Hızlıca ve güvenlik düşünülmeden yapılan kurulumlar


Katmansal web g venlik yap s

Katmansal Web Güvenlik Yapısı


Web uygulamas

Web Uygulaması


En yayg n web uygulama zay fl k s n flar

En Yaygın Web Uygulama Zayıflık Sınıfları


Neden web g venli i

Neden Web Güvenliği ?

  • Web tabanlı saldırılar artmakta

    • Zone-H– 400,000 (%36) artış (2004)

    • CSI-FBI – “Computer Crime and Security Survey” – Ankete katılanların %95’i, 2005 senesinde 10 adetten fazla web sitesi saldırısı vakasıyaşamış


Neden web g venli i devam

Neden Web Güvenliği? (devam)

  • Web güvenliği sağlanamadığında kayıplar:

    • Maddi kayıp (Özellikle e-ticaret ile para aktarımı, banka uygulamalarında),

    • Güven kaybı,

    • Şirket verilerinin kaybı ile yaşanabilecek ticari risk,

    • Kişisel bilgilerin gizli kalma hakkının ihlali,

    • Ağda oluşabilecek zayıf noktadan kaynaklanabilecek diğer saldırılar.


Web sald r rnekleri

Web Saldırı Örnekleri

  • Sayfalar değiştirilir

  • Sayfalar değiştirilmez, siteden bilgiler çalınır ve yöneticilerin haberi olmaz.

  • Site kullanılarak kullanıcı bilgileri çalınmaya devam eder.


G venlik hlalinden sorumlu kim

Güvenlik İhlalinden Sorumlu Kim?

  • Ağ / ağ güvenliği yöneticisi?

  • Sunucu - veritabanı Yöneticisi?

  • Programcı

  • Hiçbiri

  • Hepsi


Web g venli inde temel problemler

Web Güvenliğinde Temel Problemler

  • Web güvenliğine yeterli önem ve dikkatin verilmemesi

  • Geleneksel yöntemlerin yetersizliği

  • Yetersiz web sunucu güvenliği

  • Güvenli kodlama “secure coding” yapılmaması


Kurumsal web g venli i altyap s ar g r enis karaarslan

Eğer bu kadar kötü yazılım güvenliğine

sahip olmasaydık,

bu kadar çok ağ güvenliğine

ihtiyacımız olmayacaktı

Bruce Schneier


Bir sava yenmek i in bireyin y ntemi bilmesi gerekir sun tzu sava sanat the art of war

Bir savaşı yenmek için, bireyin yöntemi bilmesi gerekirSun TzuSavaş Sanatı“The Art of War”


Kurumsal web g venli i altyap s ar g r enis karaarslan

3. Kurumsal Web Güvenliği Modeli


Kurumsal a larda web sistemleri

Kurumsal Ağlarda Web Sistemleri

  • Üniversite ağları gibi büyük kurumsal ağlarda,

    • farklı ve çok sayıda web sistemleri,

    • farklı ekipler bulunmaktadır.

  • Güvenliğini sağlamak için

    • Daha kapsamlı sistemler kullanılmalı

    • Birbirleriyle etkileşimli çalışmalı


Kurumsal web g venli i modeli

Kurumsal Web Güvenliği Modeli

  • Standartlaştırma

  • Güvenli Kodlama

  • Sistem Farkındalığı

  • Eğitim / Sınama

  • Saldırı Saptama

  • Saldırı Engelleme

  • Kurtarma

  • Eşgüdüm Merkezi


3 1 standar tla t rma

3.1. Standartlaştırma

  • Politika tabanlı:

    Kullanım ve güvenlik politikaları

    Neye izin verilir, neye izin verilmez.

  • Önerilen sistemin tanımlanması

    Şablonlar, iyi uygulama örnekleri,

  • Güvenli Kodlama

  • Belgeleme


3 2 g venli kodlama

3.2. Güvenli Kodlama

  • Yazılım geliştirme yaşam döngüsü (SDLC) içerisinde güvenli kodlama yapılmalı ve zayıflık (vulnerability) testleri gerçekleştirilmeli

  • Güvence (Assurance) Modelleri:

    Ex. OWASP Clasp, Microsoft SDL

  • OWASP Güvenli Kodlama Belgeleri:

    http://www.owasp.org


Yaz l m geli tirirken temel esaslar

Yazılım Geliştirirken Temel Esaslar

  • Kullanıcı Görev/Yetki tanımlama

  • Farklı güvenlik düzeyleri

  • En az yetki

  • Güvenli varsayılan ayarlar

  • Kademeli savunma

  • Önlemleri yalın tutmak

  • Saldırı alanını azaltmak

  • Güvenli düşmek


G venli kodlama devam

Güvenli Kodlama (devam)

  • Girdi /çıktı denetiminin önemi

  • Yazılım kütüphaneleri ve sınıfları güvenli kodlama esaslarına göre geliştirilmeli,

  • Güvenli kodlamayı destekleyen geliştirme ortamları (Ör: Strutus)


G venli kodlama devam1

Güvenli Kodlama (devam)

Yeterince uygulanamamasının nedenleri

  • Projeyi bitiş zamanına yetiştirme,

  • Programcıların güvenli kodlama süreçleri hakkında yeterince bilgi sahip olmaması,

  • Müşterinin, bu konudaki beklentisini / yaptırımını vurgulamaması.

    Mümkün olduğunca çok önem verilmelidir.


3 3 e itim test

3.3. Eğitim / Test

  • Çalıştay ve Çalışma Grupları

    Güvenli kodlama örnekleri ve saldırı senaryoları

  • Eğitim Portalı

    • Kurumun projeleri ile ilgili iyi uygulama örnekleri

    • Kılavuzlar, standartlar


E itim test devam

Eğitim / Test (devam)

  • Test Sunucusu

    • Kaynak kod analizi

    • Kara kutu analizleri (kaynak koda ulaşmadan)


3 4 a web sistem fark ndal

3.4. Ağ / Web Sistem Farkındalığı

  • Sistemleri koruyabilmek için öncelikle korunması gereken sistemleri tanımak/tanımlamak gerekir.

  • Ayrı bir bölüm olarak birazdan ayrıntıları verilecek ...


3 5 sald r engelleme

3.5. Saldırı Engelleme

  • Ağ Tabanlı Erişim Denetimi

    Örn.Ağ güvenliği duvarı, yönlendirici erişim listesi

  • Sunucu Yerel Güvenliği

    Örn. Mod Security

  • Web Uygulama Güvenlik Duvarı / Ters Vekil

    Örn. Mod Security – Mod Rewrite


Ters vekil sunucu

Ters Vekil Sunucu


3 6 sald r saptama

3.6. Saldırı Saptama

  • Saldırı Saptama Sistemleri

    Örn. Snort, Mod Security

  • Günlük (Log)Dosyası Denetimi

  • Saldırgan Tuzağı Ağları

    (Honeynet, Honeypot)


3 7 kurtarma

3.7. Kurtarma

  • Sistem saldırıya uğradığında

    • Acil Durum Planı var mı?

    • Yedek sunucu ?

    • Yedeklenen veriler ?

    • Adli inceleme ihtiyacı ?


Kurtarma a amalar

Kurtarma Aşamaları

  • Sunucuya erişimin engellenmesi

  • Ayrıntılı inceleme

  • Saldırıların etkilerini temizleme

  • Sistemi yeniden çalıştırma

  • Kullanıcıların durumdan haberdar edilmesi

  • Saldırganın saptanması


3 8 koordinasyon merkezi

3.8. Koordinasyon Merkezi

  • Çok katmanlı güvenlik yapısında güvenlik önlemlerinin aşağıdaki şekilde çalışmasını sağlayacak bir sunucudur (sistemdir):

    • Birbirleriyle etkileşimli

    • Etkin


Kurumsal web g venli i altyap s ar g r enis karaarslan

4. Ağ / Web Sistem Farkındalığı


4 a web sistem fark ndal

4. Ağ / Web Sistem Farkındalığı

  • Saldırganı tanımak (?)

  • Kendini tanımak,

    Değerleri, neyin korunması gerektiğinin tanımlanması

  • Sistemleri saldırgandan daha iyi tanımak ...


A web sistem fark ndal devam

Ağ / Web Sistem Farkındalığı(devam)

  • Ağ Farkındalığı

    ağ üzerinde o an olmakta olanları bilme yeteneği

  • Web Sistem Farkındalığı

    • Web Altyapı Farkındalığı

    • Zayıflık Testleri

    • Sistem Takibi


Web sistem fark ndal

Web Sistem Farkındalığı

  • Web Altyapı Farkındalığı

    Sistemin güncel/anlık durumu hakkında bilgi toplamak

  • Zayıflık Testleri

    Görünür/bilinir zayıflıkları öğrenmek

  • Sistemi takip etmek

    Sistemin şu anki durumunu izlemek


Toplanmas hedeflenen bilgiler

Toplanması Hedeflenen Bilgiler

  • Web sunucusu üçüncü katman adresleri (IP adresleri),

  • Sunucu üzerindeki alan adları

    (Ör: internet.ege.edu.tr),

  • Web servisi verilen ağ kapıları (80, 8080 …vb),

  • Sunucu üzerinde çalışan işletim sistemi (Linux, Windows …vb),

  • Web sunucu yazılım türleri ve sürümleri (Apache 2.0, IIS 6.0…vb),


Toplanmas hedeflenen bilgiler devam

Toplanması Hedeflenen Bilgiler (devam)

  • Web uygulamalarının geliştirildiği programlama dilleri türleri (cgi, php, asp,.net, jsp …vb),

  • Uygulama dosya adı,

  • Uygulama çalışma yolu (dizin yapısı),

  • Kullanılan değiştirgeler ve tipleri,

  • Sistemlere ait saldırıya açıklık raporlarıdır


Bilgi toplama sistemleri

Bilgi Toplama Sistemleri

  • Ağ kapısı ve uygulama tarayıcıları

  • HTTP parmak izi alma sistemleri

  • Ağ trafiği çözümleme sistemleri

  • Saldırı saptama sistemleri

  • Zayıflık (saldırıya açıklık) çözümleme sistemleri

  • Arama motorları


5 ulak csirt web g venlik grubu

5. Ulak-CSIRT Web Güvenlik Grubu

  • Eğitim ve bilinçlendirme çalışmaları: çeşitli seminerler ve toplantılar

  • Belgeleme Çalışmaları

    • OWASP İlk 10 Web Güvenlik Açığı 2007 (tercüme)

    • PHP Güvenlik Kitapçığı (hazırlanmakta)


Ulak csirt web g venlik grubu devam

Ulak-CSIRT Web Güvenlik Grubu (devam)

  • Web Sistem farkındalığı ve eğitim konularına ağırlık verilmektedir.

  • Merkezi Zayıflık tarama sistemi denemeleri

  • Açık kaynak kodlu yazılımlar denenmektedir.


6 sonu

6. SONUÇ

  • Kurumsal web güvenliği için, Web Güvenliği Modelindeki yöntemler uygulanmalıdır

    • Kuruma uyan yöntemler seçilmeli

    • Mümkün olduğunca fazla yöntem devreye alınmalı

    • Her yöntem sistemi daha karmaşık hale mi getirir?

  • Temel hedefler aşağıdaki gibi olmalı:

    • Web sistem farkındalığı

    • Web sunucu yöneticilerini ve programcılarını eğitmek/bilgilendirmek


Sonu devam

Sonuç (devam)

  • Sistemler saldırı tespit sistemleri ile takip edilmelidir

  • Web sunucuları önüne web güvenlik duvarı konuşlanmalıdır.

  • ULAK-CSIRT Web Güvenliği Çalışma Grubu bünyesinde bilinçlendirme çalışmaları ve OWASP-TR ile işbirliği devam etmesi hedeflenmektedir


Sonu devam1

Sonuç (devam)

  • Bu sunum ve “Kurumsal Web Güvenliği Altyapısı” belgesi (yakında) http://www.karaarslan.net/guvenlik.html

  • Web Güvenliği Belgeleri:

    • http://www.webguvenligi.org

    • http://websecurity.ege.edu.tr

    • http://csirt.ulakbim.gov.tr/belgeler


De i im zordur a k fikirli olmal

Değişim zordur, açık fikirli olmalı ...

Önyargıları yok etmek, atom çekirdeğini parçalamaktan daha zordur.

Einstein


Kurumsal web g venli i altyap s ar g r enis karaarslan

İlginiz için teşekkürler ...

  • Sorularınızı bekliyorum ...

  • İletişim:

  • [email protected]

  • [email protected]

  • ULAK-CSIRT

  • http://csirt.ulakbim.gov.tr/eng


  • Login