BİLGİSAYAR TEKNOLOJİLERİ VE PROGRAMLAMA BÖLÜMÜ
Download
1 / 26

- PowerPoint PPT Presentation


  • 176 Views
  • Uploaded on

BİLGİSAYAR TEKNOLOJİLERİ VE PROGRAMLAMA BÖLÜMÜ BİLG 22 4 AĞ İŞLETİM SİSTEMLERİ II DERSİ. Linux’te Güvenlik. Öğr. Gör. Mustafa SARIÖZ. Neden Güvenlik.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '' - katen


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Linux te g venlik

BİLGİSAYAR TEKNOLOJİLERİ VE PROGRAMLAMA BÖLÜMÜ

BİLG 224 AĞ İŞLETİM SİSTEMLERİ II DERSİ

Linux’te Güvenlik

Öğr. Gör. Mustafa SARIÖZ


Neden g venlik
Neden Güvenlik

  • Veriniz A noktasından B noktasına İnternet üzerinde giderken, yolu boyunca bir dizi başka noktalardan geçebilir, ve bu şekilde diğer kullanıcılar;

    • Gönderdiğiniz verinin yolunu kesebilir,

    • Veriyi değiştiribilir

    • Kötü niyetle, sizin isteğiniz dışında verinizi başka bir şekle sokabilir.

    • Sisteminize izinsiz erişim sağlayabilir

    • İleri düzey bilgileri kullanarak sizmişsiniz gibi davranabilir

    • Sizden bilgi çalabilir

    • Hatta kendi kaynaklarınıza erişiminizi engelleyebillir


Ne kadar g venlik
Ne kadar Güvenlik?

  • Hiçbir bilgisayar sisteminin tamamen güvenli değildir.

  • Güvenlik önemleriniz arttıkça, bu güvenlik önlemlerinin kendisi sistemi kullanılmaz hale getirebilmektedir.


G venlik politikas
Güvenlik Politikası

  • Eğer orta büyüklükte veya büyük bir siteyseniz, bir güvenlik politikası oluşturmalı, ve bu politika sisteminizin ne kadar güvenliğe gereksinimi olduğunu belirtiyor olmalıdır.

  • Genel olarak kabul edilmiş bir güvenlik politikası:

  • “ İzin verilmemiş herşey yasaklanmıştır. ”

  • Gerçek hayatta güvenlik politikaları nasıl oluyor görmek isterseniz;

  • ftp://coast.cs.purdue.edu/pub/doc/policy


G venlik duvar
Güvenlik Duvarı

  • Güvenlik duvarı, yerel ağınızın içine giren ve dışına çıkan bilgiyi denetim altında tutmanın bir yoludur. Tipik bir güvenlik duvarı, İnternete ve yerel ağınıza bağlanmış durumdadır, ve yerel ağınızdan İnternete tek çıkış yolu güvenlik duvarının içinden geçmektir. Bu yolla güvenlik duvarı yerel ağdan İnternete ya da İnternetten yerel ağa nelerin geçtiğini denetleyebilir.


G venlik duvar1
Güvenlik Duvarı

  • Güvenlik Duvarları

    • Packet Filter,

    • IpFW,

    • IpFilter,

    • Iptables


Genel linux g venli i
Genel Linux Güvenliği

  • 1.Güvenlik Duvarı

  • 2. TCP Wrappers

  • 3. Xinetd

  • Linux işletim sistemlerinde servislerin erişim kontrölü için Ağ üzerinden gelen istekler öncellikle güvenlik duvarı ile filtrelenir. Arkasından servislere erişim kontrölü için iki sistem kullanılabilir.


Genel linux g venli i1
Genel Linux Güvenliği

  • Iptables, ethernet aygıtımız üzerinden geçen trafikdekidatalarıbaşlıklarına bakarak erişim denetimlerini sağlar.

  • TCP Wrappers servislere hangi istemcilerin erişebileceği ve erişimler ile ilgili kayıtların tutulmasını sağlar.

  • Xinetd, TCP Wrappers’ın sağladığı kontrollerin yanı sıra servis üzerinde daha gelişmiş bir kontrol mekanizmasına sahiptir.


G venlik duvar i in rnek bir senaryo
Güvenlik duvarı için örnek bir senaryo

  • Sistemimizde HTTP, FTP, Pop3, Smtp servisleri çalışıyor olsun. Sistemimiz dışarıdan gelecek Ping'lere yanıt vermesin ve belirtilen servisler dışındaki hiçbir porta talepgönderilemesin.


Kay t log tutmak
Kayıt (LOG) Tutmak

  • Merkezi Kayıt Sunucusu Oluşturmayı Hedeflemektedirler

  • Ağ Üzerinde Kayıt Aktarımını Şifreli Olarak Sağlayabilirler

  • Farklı Sistemlerde Tutulan Kayıtları Özelleştirebilir ve Gruplayabilirler

  • Raporları Belirli Özelliklerine Göre Grafiklerle İfade Edebilirler


Kay t log tutmak1
Kayıt (LOG) Tutmak

  • "Syslog", yazılımların sistem yöneticisini ilgilendiren iletileri teslim edeceği ve bu iletileri aktarmak için konsola çıktılama, belli bir şahsa postalama ya da ileride başvurulmak üzere bir günlük dosyasına kaydetme gibi çeşitli yolları yapılandırabileceği bir oluşumdur.

  • Syslog tarafından tutulan kayıtlar genellikle hata mesajları veya çekirdek mesajları gibi kayıtlardır.

  • syslogd sistem açılırken arkaplanda işlemeye bırakılır.


Linux te g venlik
NAT

Dahili ağ

(örn. Ev ağı)

10.0.0/24

İnternetin

geri kalanı

10.0.0.1

10.0.0.4

10.0.0.2

138.76.29.7

10.0.0.3

NAT çevrim tablosu

WAN tarafı adresi LAN tarafı adresi

138.76.29.7, 5001 10.0.0.1, 3345

…… ……


Proxy vekil
Proxy (Vekil)

  • Zaman zaman yetkili sunucu veya proxy olarak da anılan Vekil sunucu, internete erişim sırasında kullanılan bir ara sunucudur. Bu durumda, örneğin bir web sayfasına erişim sırasında direkt bağlantı yerine:

  • Tarayıcı vekil sunucuya bağlanır ve hangi sayfayı istediğini söyler

  • Vekil sunucu gerekiyorsa o sayfaya bağlanır ve içeriği alır

  • Vekil sunucu tarayıcıya içeriği gönderir


Proxy vekil1
Proxy (Vekil)

  • Bu teknoloji, birçok avantaj sağlar:

    • Ekstra hız

    • Ekstra kontrol

    • Ekstra güvenlik

    • Ekstra gizlilik


Proxy vekil2
Proxy (Vekil)

  • Squid, HTTP istemcilerinin taleplerini karşılayan, yüksek hızlı ve caching yapabilen bir proxy sunucudur.


Vpn ler sanal zel a lar
VPN'ler - Sanal Özel Ağlar

  • VPN'ler, var olan bir ağın üstüne "sanal" bir ağ kurmanın bir yoludur. Bu sanal ağ, bazı durumlarda şifreli olup, sadece ağa katılmış olan ve kim olduğu bilinen bilgisayarlar arasındaki trafiğe izin verir.

  • VPN'ler, çoğunlukla evde çalışan birini, herkese açık İnternet üzerinden dahili bir şirket ağına bağlamak için kullanılır.


Vpn ler sanal zel a lar1

Internet

Tunnel

VPN'ler - Sanal Özel Ağlar

CorporateIntranet

  • VPN Çesitleri

    • Ipsec VPN, L2TP, PPTP, SSL VPN

Internet Adapter

VPN SERVER

VPN Remote Access Client


Vpn ler sanal zel a lar2
VPN'ler - Sanal Özel Ağlar

  • Linux'taki VPN çözümlerinden bir kaçı:

    • vpnd.

      http://sunsite.dk/vpnd/

    • Free S/Wan,

      http://www.xs4all.nl/~freeswan/

    • vps (sanal özel sunucu): http://www.strongcrypto.com

    • yawipin

      http://yavipin.sourceforge.net

    • ssh, bir VPN oluşturmak için kullanılabilir.


Sald r tespit
Saldırı Tespit

  • Normal trafik -saldırgan trafigi ?

  • Anormal trafigi izlemek ise yarar mı?

  • En bilinen özgür (N)IDS Snort

    • 7 yıl öncesinde basit bir sniffer projesi..

    • Günümüzde: Ag temelli , imza tabanlı saldırı tespit sistemi

    • Açık kaynak kodlu, Aktif gelistirici toplulugu

    • Snortsam ile Firewall’a kural gönderme

    • Onlarca yönetim arabirimi


Zay fl k tarama sistemleri
Zayıflık Tarama Sistemleri

  • Yayınlanmış, bilinen uygulama ve sistem zayıflıklarını test eden araçlardır

  • Veritabanlarında bulunan zayıflıkları hiçbir özel yöntem uygulamadan test etmektedirler

  • Zaman içerisinde oluşabilecek zayıflıkları düzenli takip etmeyi sağlarlar

  • Script dilleri sayesinde yeni zayıflıklar kolayca tanımlanabilir

  • 3 farklı mimaride çalışabilirler : Ağ Temelli, Uygulamaya özel ve Sunucu Temelli


Zay fl k tarama sistemleri1
Zayıflık Tarama Sistemleri

  • Nessus, hackerların bilinen güvenlik açıklarından faydalanmasından önce açığı tespit etmek ve çözümünü bulmak için tasarlanmıştır. Nessus bir sürü yetenekleri olan çok iyi bir araçtır.

  • Makinelerde veya ağlarda port ve servis tabanlı tarama yapan bir kaç farklı yazılım paketleri mevcut. SATAN ve ISS iyi bilinen diğer zayıflık tarama sistemleri.


Linux te g venlik
NMAP

  • Nmap, bilgisayar ağları uzmanı Gordon Lyon(Fyodor) tarafından C/C++ ve Python programlama dilleri kullanılarak geliştirilmiş bir güvenlik tarayıcısıdır.

  • Taranan ağın haritasını çıkarabilir ve ağ makinalarında çalışan servislerin durumlarını, işletim sistemlerini, portların durumlarını gözlemleyebilir.

  • Görsel arayüzü veya komut satırı kulanılabilir.


Paket koklay c lar
Paket Koklayıcılar

  • Saldırganların, ağınız üzerinde daha fazla sisteme erişim kazanmasının en yaygın yollarından biri, güvenliği ihlal edilen bilgisayarlardan birinin üzerinde bir paket koklayıcı çalıştırmasıdır.

  • Bu "koklayıcı", paket akışı içinde passwd, login ve su gibi programlar için Ethernet portunu dinler ve günlük tutar. Bu yolla saldırganlar, girmeye hiç kalkışmadıkları sistemlerin parolalarına dahi erişebilirler. Açık metin parolalar bu saldırıya karşı çok korunmasızdırlar.


Paket koklay c lar1
Paket Koklayıcılar

  • ssh veya diğer şifreli parola yöntemlerini kullanarak, bu saldırının önüne geçilebilir.

  • Örnek Paket koklayıcılar:

  • Wireshark

    • Görsel ara yüzlü

    • Gelişmiş filtreleme

  • Tcpdump

    • Komut tabanlı


Referanslar
REFERANSLAR

  • csirt.ulakbim.gov.tr/dokumanlar/LinuxGuvenlikNasil.pdf

  • http://www.bayar.edu.tr/bid/dokumanlar/lkd-nessus-mart.pdf