Kurumsal
Download
1 / 59

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan - PowerPoint PPT Presentation


  • 233 Views
  • Uploaded on

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan Ege Üniv. Kampüs Ağ Yöneticisi, ULAK-CSIRT üyesi ULAK-CSIRT http://csirt.ulakbim.gov.tr /. İÇERİK. 1 . Güvenlik Hakkında Temel Bilgiler 2. Neden Web Güvenliği 3. Kurumsal Web Güvenliği Modeli Standar t ları Oluşturma/Uygulama

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan' - lavey


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

Kurumsal

Web Güvenliği Altyapısı

Ar. Gör. Enis Karaarslan

Ege Üniv. Kampüs Ağ Yöneticisi, ULAK-CSIRT üyesi

ULAK-CSIRT

http://csirt.ulakbim.gov.tr/


İÇERİK

1. Güvenlik Hakkında Temel Bilgiler

2. Neden Web Güvenliği

3. Kurumsal Web Güvenliği Modeli

  • Standartları Oluşturma/Uygulama

  • Güvenli Kodlama

  • Eğitim / Sınama

  • Ağ / web sistem farkındalığı

  • Saldırı Saptama

  • Saldırı Engelleme

  • Kurtarma

  • Koordinasyon Merkezi


Er k devam
İÇERİK (devam)

4. Ağ ve Web Sistem Farkındalığı

5. ULAK-CSIRT Web Güvenliği Grubu

6. Sonuç


1. Güvenlik Hakkında

Bazı Temel Bilgiler


Bilgi sistemi ve g venlik

SALDIRI

SALDIRGAN

GÜVENLİK

ÖNLEMLERİ

ZAYIFLIK

BİLGİ SİSTEMİ

KULLANICILAR

Bilgi Sistemi ve Güvenlik


Zay fl klar zmek
Zayıflıkları çözmek ...

  • Zayıflık: Her sistemde bilinen veya henüz bilinmeyen güvenlik açıkları vardır.

  • Zayıflığın öğrenilmesinden sonra, o zayıflığı kaldıracak önlemlerin (yama, ayar) uygulanması arasında geçen zaman önemlidir.



Güvenlik bir ürün değil, listesi ...

bir süreçtir.

Security is a process, not a product.

Bruce Schneier


Temel g venlik nlemleri
Temel Güvenlik Önlemleri listesi ...

  • Bilgi sistemlerinin güvenlik düşünülerek tasarlanması ve uygulanması

    (secure by design)

  • Zayıflıkların/saldırıların tespiti

  • Mümkün olduğunca saldırıların engellenmesi,

  • Riskin azaltılması

  • Saldırganın işinin zorlaştırılması


G venlik esaslar
Güvenlik esasları ... listesi ...

  • Bir zincir, ancak en zayıf halkası kadar güçlüdür.

  • O zaman tek bir zincire güvenmemek gerekir ...

  • Mümkün olduğunca farklı önlemler alınmalıdır.



Ok katmanl g venlik rne i
Çok Katmanlı Güvenlik Örneği listesi ...

Her alt katman da birçok katmandan oluşabilir.


G venlik ve kullan l l k
Güvenlik ve kullanışlılık? listesi ...

Tabii ki karikatürdeki gibi olmamalıdır.

Güvenlik önlemleri, sistemin kullanılmasını zor duruma getirmemelidir.



Web tabanl sistemler
Web Tabanlı Sistemler listesi ...

  • Web (sunucu) kullanımı artıyor

    • bilgi sistemleri, ağ cihazları ... Vb

    • Web uygulamalarının ve bu ortamdaki bilginin artması

    • Kurumun dünyaya açılan penceresi

  • Hızlıca ve güvenlik düşünülmeden yapılan kurulumlar



Web uygulamas
Web Uygulaması listesi ...



Neden web g venli i
Neden Web Güvenliği ? listesi ...

  • Web tabanlı saldırılar artmakta

    • Zone-H– 400,000 (%36) artış (2004)

    • CSI-FBI – “Computer Crime and Security Survey” – Ankete katılanların %95’i, 2005 senesinde 10 adetten fazla web sitesi saldırısı vakasıyaşamış


Neden web g venli i devam
Neden Web Güvenliği? (devam) listesi ...

  • Web güvenliği sağlanamadığında kayıplar:

    • Maddi kayıp (Özellikle e-ticaret ile para aktarımı, banka uygulamalarında),

    • Güven kaybı,

    • Şirket verilerinin kaybı ile yaşanabilecek ticari risk,

    • Kişisel bilgilerin gizli kalma hakkının ihlali,

    • Ağda oluşabilecek zayıf noktadan kaynaklanabilecek diğer saldırılar.


Web sald r rnekleri
Web Saldırı Örnekleri listesi ...

  • Sayfalar değiştirilir

  • Sayfalar değiştirilmez, siteden bilgiler çalınır ve yöneticilerin haberi olmaz.

  • Site kullanılarak kullanıcı bilgileri çalınmaya devam eder.


G venlik hlalinden sorumlu kim
Güvenlik İhlalinden Sorumlu Kim? listesi ...

  • Ağ / ağ güvenliği yöneticisi?

  • Sunucu - veritabanı Yöneticisi?

  • Programcı

  • Hiçbiri

  • Hepsi


Web g venli inde temel problemler
Web Güvenliğinde Temel Problemler listesi ...

  • Web güvenliğine yeterli önem ve dikkatin verilmemesi

  • Geleneksel yöntemlerin yetersizliği

  • Yetersiz web sunucu güvenliği

  • Güvenli kodlama “secure coding” yapılmaması


Eğer bu kadar listesi ... kötü yazılım güvenliğine

sahip olmasaydık,

bu kadar çok ağ güvenliğine

ihtiyacımız olmayacaktı

Bruce Schneier


Bir sava yenmek i in bireyin y ntemi bilmesi gerekir sun tzu sava sanat the art of war
Bir savaşı yenmek için, bireyin yöntemi bilmesi gerekir listesi ...Sun TzuSavaş Sanatı“The Art of War”



Kurumsal a larda web sistemleri
Kurumsal Ağlarda Web Sistemleri listesi ...

  • Üniversite ağları gibi büyük kurumsal ağlarda,

    • farklı ve çok sayıda web sistemleri,

    • farklı ekipler bulunmaktadır.

  • Güvenliğini sağlamak için

    • Daha kapsamlı sistemler kullanılmalı

    • Birbirleriyle etkileşimli çalışmalı


Kurumsal web g venli i modeli
Kurumsal Web Güvenliği Modeli listesi ...

  • Standartlaştırma

  • Güvenli Kodlama

  • Sistem Farkındalığı

  • Eğitim / Sınama

  • Saldırı Saptama

  • Saldırı Engelleme

  • Kurtarma

  • Eşgüdüm Merkezi


3 1 standar tla t rma
3.1. listesi ...Standartlaştırma

  • Politika tabanlı:

    Kullanım ve güvenlik politikaları

    Neye izin verilir, neye izin verilmez.

  • Önerilen sistemin tanımlanması

    Şablonlar, iyi uygulama örnekleri,

  • Güvenli Kodlama

  • Belgeleme


3 2 g venli kodlama
3.2. Güvenli Kodlama listesi ...

  • Yazılım geliştirme yaşam döngüsü (SDLC) içerisinde güvenli kodlama yapılmalı ve zayıflık (vulnerability) testleri gerçekleştirilmeli

  • Güvence (Assurance) Modelleri:

    Ex. OWASP Clasp, Microsoft SDL

  • OWASP Güvenli Kodlama Belgeleri:

    http://www.owasp.org


Yaz l m geli tirirken temel esaslar
Yazılım Geliştirirken Temel Esaslar listesi ...

  • Kullanıcı Görev/Yetki tanımlama

  • Farklı güvenlik düzeyleri

  • En az yetki

  • Güvenli varsayılan ayarlar

  • Kademeli savunma

  • Önlemleri yalın tutmak

  • Saldırı alanını azaltmak

  • Güvenli düşmek


G venli kodlama devam
Güvenli Kodlama (devam) listesi ...

  • Girdi /çıktı denetiminin önemi

  • Yazılım kütüphaneleri ve sınıfları güvenli kodlama esaslarına göre geliştirilmeli,

  • Güvenli kodlamayı destekleyen geliştirme ortamları (Ör: Strutus)


G venli kodlama devam1
Güvenli Kodlama (devam) listesi ...

Yeterince uygulanamamasının nedenleri

  • Projeyi bitiş zamanına yetiştirme,

  • Programcıların güvenli kodlama süreçleri hakkında yeterince bilgi sahip olmaması,

  • Müşterinin, bu konudaki beklentisini / yaptırımını vurgulamaması.

    Mümkün olduğunca çok önem verilmelidir.


3 3 e itim test
3.3. Eğitim listesi ... / Test

  • Çalıştay ve Çalışma Grupları

    Güvenli kodlama örnekleri ve saldırı senaryoları

  • Eğitim Portalı

    • Kurumun projeleri ile ilgili iyi uygulama örnekleri

    • Kılavuzlar, standartlar


E itim test devam
Eğitim listesi ... / Test (devam)

  • Test Sunucusu

    • Kaynak kod analizi

    • Kara kutu analizleri (kaynak koda ulaşmadan)


3 4 a web sistem fark ndal
3.4. Ağ / Web Sistem Farkındalığı listesi ...

  • Sistemleri koruyabilmek için öncelikle korunması gereken sistemleri tanımak/tanımlamak gerekir.

  • Ayrı bir bölüm olarak birazdan ayrıntıları verilecek ...


3 5 sald r engelleme
3.5. Saldırı Engelleme listesi ...

  • Ağ Tabanlı Erişim Denetimi

    Örn.Ağ güvenliği duvarı, yönlendirici erişim listesi

  • Sunucu Yerel Güvenliği

    Örn. Mod Security

  • Web Uygulama Güvenlik Duvarı / Ters Vekil

    Örn. Mod Security – Mod Rewrite


Ters vekil sunucu
Ters Vekil Sunucu listesi ...


3 6 sald r saptama
3.6. Saldırı Saptama listesi ...

  • Saldırı Saptama Sistemleri

    Örn. Snort, Mod Security

  • Günlük (Log)Dosyası Denetimi

  • Saldırgan Tuzağı Ağları

    (Honeynet, Honeypot)


3 7 kurtarma
3.7. Kurtarma listesi ...

  • Sistem saldırıya uğradığında

    • Acil Durum Planı var mı?

    • Yedek sunucu ?

    • Yedeklenen veriler ?

    • Adli inceleme ihtiyacı ?


Kurtarma a amalar
Kurtarma Aşamaları listesi ...

  • Sunucuya erişimin engellenmesi

  • Ayrıntılı inceleme

  • Saldırıların etkilerini temizleme

  • Sistemi yeniden çalıştırma

  • Kullanıcıların durumdan haberdar edilmesi

  • Saldırganın saptanması


3 8 koordinasyon merkezi
3.8. Koordinasyon Merkezi listesi ...

  • Çok katmanlı güvenlik yapısında güvenlik önlemlerinin aşağıdaki şekilde çalışmasını sağlayacak bir sunucudur (sistemdir):

    • Birbirleriyle etkileşimli

    • Etkin



4 a web sistem fark ndal
4. Ağ / Web Sistem Farkındalığı listesi ...

  • Saldırganı tanımak (?)

  • Kendini tanımak,

    Değerleri, neyin korunması gerektiğinin tanımlanması

  • Sistemleri saldırgandan daha iyi tanımak ...


A web sistem fark ndal devam
Ağ / Web Sistem Farkındalığı(devam) listesi ...

  • Ağ Farkındalığı

    ağ üzerinde o an olmakta olanları bilme yeteneği

  • Web Sistem Farkındalığı

    • Web Altyapı Farkındalığı

    • Zayıflık Testleri

    • Sistem Takibi


Web sistem fark ndal
Web Sistem Farkındalığı listesi ...

  • Web Altyapı Farkındalığı

    Sistemin güncel/anlık durumu hakkında bilgi toplamak

  • Zayıflık Testleri

    Görünür/bilinir zayıflıkları öğrenmek

  • Sistemi takip etmek

    Sistemin şu anki durumunu izlemek


Toplanmas hedeflenen bilgiler
Toplanması Hedeflenen Bilgiler listesi ...

  • Web sunucusu üçüncü katman adresleri (IP adresleri),

  • Sunucu üzerindeki alan adları

    (Ör: internet.ege.edu.tr),

  • Web servisi verilen ağ kapıları (80, 8080 …vb),

  • Sunucu üzerinde çalışan işletim sistemi (Linux, Windows …vb),

  • Web sunucu yazılım türleri ve sürümleri (Apache 2.0, IIS 6.0…vb),


Toplanmas hedeflenen bilgiler devam
Toplanması Hedeflenen Bilgiler (devam) listesi ...

  • Web uygulamalarının geliştirildiği programlama dilleri türleri (cgi, php, asp,.net, jsp …vb),

  • Uygulama dosya adı,

  • Uygulama çalışma yolu (dizin yapısı),

  • Kullanılan değiştirgeler ve tipleri,

  • Sistemlere ait saldırıya açıklık raporlarıdır


Bilgi toplama sistemleri
Bilgi Toplama Sistemleri listesi ...

  • Ağ kapısı ve uygulama tarayıcıları

  • HTTP parmak izi alma sistemleri

  • Ağ trafiği çözümleme sistemleri

  • Saldırı saptama sistemleri

  • Zayıflık (saldırıya açıklık) çözümleme sistemleri

  • Arama motorları


5 ulak csirt web g venlik grubu
5. Ulak-CSIRT Web Güvenlik Grubu listesi ...

  • Eğitim ve bilinçlendirme çalışmaları: çeşitli seminerler ve toplantılar

  • Belgeleme Çalışmaları

    • OWASP İlk 10 Web Güvenlik Açığı 2007 (tercüme)

    • PHP Güvenlik Kitapçığı (hazırlanmakta)


Ulak csirt web g venlik grubu devam
Ulak-CSIRT Web Güvenlik Grubu (devam) listesi ...

  • Web Sistem farkındalığı ve eğitim konularına ağırlık verilmektedir.

  • Merkezi Zayıflık tarama sistemi denemeleri

  • Açık kaynak kodlu yazılımlar denenmektedir.


6 sonu
6. SONUÇ listesi ...

  • Kurumsal web güvenliği için, Web Güvenliği Modelindeki yöntemler uygulanmalıdır

    • Kuruma uyan yöntemler seçilmeli

    • Mümkün olduğunca fazla yöntem devreye alınmalı

    • Her yöntem sistemi daha karmaşık hale mi getirir?

  • Temel hedefler aşağıdaki gibi olmalı:

    • Web sistem farkındalığı

    • Web sunucu yöneticilerini ve programcılarını eğitmek/bilgilendirmek


Sonu devam
Sonuç listesi ... (devam)

  • Sistemler saldırı tespit sistemleri ile takip edilmelidir

  • Web sunucuları önüne web güvenlik duvarı konuşlanmalıdır.

  • ULAK-CSIRT Web Güvenliği Çalışma Grubu bünyesinde bilinçlendirme çalışmaları ve OWASP-TR ile işbirliği devam etmesi hedeflenmektedir


Sonu devam1
Sonuç listesi ... (devam)

  • Bu sunum ve “Kurumsal Web Güvenliği Altyapısı” belgesi (yakında) http://www.karaarslan.net/guvenlik.html

  • Web Güvenliği Belgeleri:

    • http://www.webguvenligi.org

    • http://websecurity.ege.edu.tr

    • http://csirt.ulakbim.gov.tr/belgeler


De i im zordur a k fikirli olmal
Değişim zordur, açık fikirli olmalı ... listesi ...

Önyargıları yok etmek, atom çekirdeğini parçalamaktan daha zordur.

Einstein


İlginiz için teşekkürler ... listesi ...

  • Sorularınızı bekliyorum ...

  • İletişim:

  • [email protected]

  • [email protected]

  • ULAK-CSIRT

  • http://csirt.ulakbim.gov.tr/eng


ad