Kurumsal
Download
1 / 59

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan - PowerPoint PPT Presentation


  • 243 Views
  • Uploaded on

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan Ege Üniv. Kampüs Ağ Yöneticisi, ULAK-CSIRT üyesi ULAK-CSIRT http://csirt.ulakbim.gov.tr /. İÇERİK. 1 . Güvenlik Hakkında Temel Bilgiler 2. Neden Web Güvenliği 3. Kurumsal Web Güvenliği Modeli Standar t ları Oluşturma/Uygulama

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan' - lavey


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

Kurumsal

Web Güvenliği Altyapısı

Ar. Gör. Enis Karaarslan

Ege Üniv. Kampüs Ağ Yöneticisi, ULAK-CSIRT üyesi

ULAK-CSIRT

http://csirt.ulakbim.gov.tr/


İÇERİK

1. Güvenlik Hakkında Temel Bilgiler

2. Neden Web Güvenliği

3. Kurumsal Web Güvenliği Modeli

  • Standartları Oluşturma/Uygulama

  • Güvenli Kodlama

  • Eğitim / Sınama

  • Ağ / web sistem farkındalığı

  • Saldırı Saptama

  • Saldırı Engelleme

  • Kurtarma

  • Koordinasyon Merkezi


Er k devam
İÇERİK (devam)

4. Ağ ve Web Sistem Farkındalığı

5. ULAK-CSIRT Web Güvenliği Grubu

6. Sonuç


1. Güvenlik Hakkında

Bazı Temel Bilgiler


Bilgi sistemi ve g venlik

SALDIRI

SALDIRGAN

GÜVENLİK

ÖNLEMLERİ

ZAYIFLIK

BİLGİ SİSTEMİ

KULLANICILAR

Bilgi Sistemi ve Güvenlik


Zay fl klar zmek
Zayıflıkları çözmek ...

  • Zayıflık: Her sistemde bilinen veya henüz bilinmeyen güvenlik açıkları vardır.

  • Zayıflığın öğrenilmesinden sonra, o zayıflığı kaldıracak önlemlerin (yama, ayar) uygulanması arasında geçen zaman önemlidir.



Güvenlik bir ürün değil, listesi ...

bir süreçtir.

Security is a process, not a product.

Bruce Schneier


Temel g venlik nlemleri
Temel Güvenlik Önlemleri listesi ...

  • Bilgi sistemlerinin güvenlik düşünülerek tasarlanması ve uygulanması

    (secure by design)

  • Zayıflıkların/saldırıların tespiti

  • Mümkün olduğunca saldırıların engellenmesi,

  • Riskin azaltılması

  • Saldırganın işinin zorlaştırılması


G venlik esaslar
Güvenlik esasları ... listesi ...

  • Bir zincir, ancak en zayıf halkası kadar güçlüdür.

  • O zaman tek bir zincire güvenmemek gerekir ...

  • Mümkün olduğunca farklı önlemler alınmalıdır.



Ok katmanl g venlik rne i
Çok Katmanlı Güvenlik Örneği listesi ...

Her alt katman da birçok katmandan oluşabilir.


G venlik ve kullan l l k
Güvenlik ve kullanışlılık? listesi ...

Tabii ki karikatürdeki gibi olmamalıdır.

Güvenlik önlemleri, sistemin kullanılmasını zor duruma getirmemelidir.



Web tabanl sistemler
Web Tabanlı Sistemler listesi ...

  • Web (sunucu) kullanımı artıyor

    • bilgi sistemleri, ağ cihazları ... Vb

    • Web uygulamalarının ve bu ortamdaki bilginin artması

    • Kurumun dünyaya açılan penceresi

  • Hızlıca ve güvenlik düşünülmeden yapılan kurulumlar



Web uygulamas
Web Uygulaması listesi ...



Neden web g venli i
Neden Web Güvenliği ? listesi ...

  • Web tabanlı saldırılar artmakta

    • Zone-H– 400,000 (%36) artış (2004)

    • CSI-FBI – “Computer Crime and Security Survey” – Ankete katılanların %95’i, 2005 senesinde 10 adetten fazla web sitesi saldırısı vakasıyaşamış


Neden web g venli i devam
Neden Web Güvenliği? (devam) listesi ...

  • Web güvenliği sağlanamadığında kayıplar:

    • Maddi kayıp (Özellikle e-ticaret ile para aktarımı, banka uygulamalarında),

    • Güven kaybı,

    • Şirket verilerinin kaybı ile yaşanabilecek ticari risk,

    • Kişisel bilgilerin gizli kalma hakkının ihlali,

    • Ağda oluşabilecek zayıf noktadan kaynaklanabilecek diğer saldırılar.


Web sald r rnekleri
Web Saldırı Örnekleri listesi ...

  • Sayfalar değiştirilir

  • Sayfalar değiştirilmez, siteden bilgiler çalınır ve yöneticilerin haberi olmaz.

  • Site kullanılarak kullanıcı bilgileri çalınmaya devam eder.


G venlik hlalinden sorumlu kim
Güvenlik İhlalinden Sorumlu Kim? listesi ...

  • Ağ / ağ güvenliği yöneticisi?

  • Sunucu - veritabanı Yöneticisi?

  • Programcı

  • Hiçbiri

  • Hepsi


Web g venli inde temel problemler
Web Güvenliğinde Temel Problemler listesi ...

  • Web güvenliğine yeterli önem ve dikkatin verilmemesi

  • Geleneksel yöntemlerin yetersizliği

  • Yetersiz web sunucu güvenliği

  • Güvenli kodlama “secure coding” yapılmaması


Eğer bu kadar listesi ... kötü yazılım güvenliğine

sahip olmasaydık,

bu kadar çok ağ güvenliğine

ihtiyacımız olmayacaktı

Bruce Schneier


Bir sava yenmek i in bireyin y ntemi bilmesi gerekir sun tzu sava sanat the art of war
Bir savaşı yenmek için, bireyin yöntemi bilmesi gerekir listesi ...Sun TzuSavaş Sanatı“The Art of War”



Kurumsal a larda web sistemleri
Kurumsal Ağlarda Web Sistemleri listesi ...

  • Üniversite ağları gibi büyük kurumsal ağlarda,

    • farklı ve çok sayıda web sistemleri,

    • farklı ekipler bulunmaktadır.

  • Güvenliğini sağlamak için

    • Daha kapsamlı sistemler kullanılmalı

    • Birbirleriyle etkileşimli çalışmalı


Kurumsal web g venli i modeli
Kurumsal Web Güvenliği Modeli listesi ...

  • Standartlaştırma

  • Güvenli Kodlama

  • Sistem Farkındalığı

  • Eğitim / Sınama

  • Saldırı Saptama

  • Saldırı Engelleme

  • Kurtarma

  • Eşgüdüm Merkezi


3 1 standar tla t rma
3.1. listesi ...Standartlaştırma

  • Politika tabanlı:

    Kullanım ve güvenlik politikaları

    Neye izin verilir, neye izin verilmez.

  • Önerilen sistemin tanımlanması

    Şablonlar, iyi uygulama örnekleri,

  • Güvenli Kodlama

  • Belgeleme


3 2 g venli kodlama
3.2. Güvenli Kodlama listesi ...

  • Yazılım geliştirme yaşam döngüsü (SDLC) içerisinde güvenli kodlama yapılmalı ve zayıflık (vulnerability) testleri gerçekleştirilmeli

  • Güvence (Assurance) Modelleri:

    Ex. OWASP Clasp, Microsoft SDL

  • OWASP Güvenli Kodlama Belgeleri:

    http://www.owasp.org


Yaz l m geli tirirken temel esaslar
Yazılım Geliştirirken Temel Esaslar listesi ...

  • Kullanıcı Görev/Yetki tanımlama

  • Farklı güvenlik düzeyleri

  • En az yetki

  • Güvenli varsayılan ayarlar

  • Kademeli savunma

  • Önlemleri yalın tutmak

  • Saldırı alanını azaltmak

  • Güvenli düşmek


G venli kodlama devam
Güvenli Kodlama (devam) listesi ...

  • Girdi /çıktı denetiminin önemi

  • Yazılım kütüphaneleri ve sınıfları güvenli kodlama esaslarına göre geliştirilmeli,

  • Güvenli kodlamayı destekleyen geliştirme ortamları (Ör: Strutus)


G venli kodlama devam1
Güvenli Kodlama (devam) listesi ...

Yeterince uygulanamamasının nedenleri

  • Projeyi bitiş zamanına yetiştirme,

  • Programcıların güvenli kodlama süreçleri hakkında yeterince bilgi sahip olmaması,

  • Müşterinin, bu konudaki beklentisini / yaptırımını vurgulamaması.

    Mümkün olduğunca çok önem verilmelidir.


3 3 e itim test
3.3. Eğitim listesi ... / Test

  • Çalıştay ve Çalışma Grupları

    Güvenli kodlama örnekleri ve saldırı senaryoları

  • Eğitim Portalı

    • Kurumun projeleri ile ilgili iyi uygulama örnekleri

    • Kılavuzlar, standartlar


E itim test devam
Eğitim listesi ... / Test (devam)

  • Test Sunucusu

    • Kaynak kod analizi

    • Kara kutu analizleri (kaynak koda ulaşmadan)


3 4 a web sistem fark ndal
3.4. Ağ / Web Sistem Farkındalığı listesi ...

  • Sistemleri koruyabilmek için öncelikle korunması gereken sistemleri tanımak/tanımlamak gerekir.

  • Ayrı bir bölüm olarak birazdan ayrıntıları verilecek ...


3 5 sald r engelleme
3.5. Saldırı Engelleme listesi ...

  • Ağ Tabanlı Erişim Denetimi

    Örn.Ağ güvenliği duvarı, yönlendirici erişim listesi

  • Sunucu Yerel Güvenliği

    Örn. Mod Security

  • Web Uygulama Güvenlik Duvarı / Ters Vekil

    Örn. Mod Security – Mod Rewrite


Ters vekil sunucu
Ters Vekil Sunucu listesi ...


3 6 sald r saptama
3.6. Saldırı Saptama listesi ...

  • Saldırı Saptama Sistemleri

    Örn. Snort, Mod Security

  • Günlük (Log)Dosyası Denetimi

  • Saldırgan Tuzağı Ağları

    (Honeynet, Honeypot)


3 7 kurtarma
3.7. Kurtarma listesi ...

  • Sistem saldırıya uğradığında

    • Acil Durum Planı var mı?

    • Yedek sunucu ?

    • Yedeklenen veriler ?

    • Adli inceleme ihtiyacı ?


Kurtarma a amalar
Kurtarma Aşamaları listesi ...

  • Sunucuya erişimin engellenmesi

  • Ayrıntılı inceleme

  • Saldırıların etkilerini temizleme

  • Sistemi yeniden çalıştırma

  • Kullanıcıların durumdan haberdar edilmesi

  • Saldırganın saptanması


3 8 koordinasyon merkezi
3.8. Koordinasyon Merkezi listesi ...

  • Çok katmanlı güvenlik yapısında güvenlik önlemlerinin aşağıdaki şekilde çalışmasını sağlayacak bir sunucudur (sistemdir):

    • Birbirleriyle etkileşimli

    • Etkin



4 a web sistem fark ndal
4. Ağ / Web Sistem Farkındalığı listesi ...

  • Saldırganı tanımak (?)

  • Kendini tanımak,

    Değerleri, neyin korunması gerektiğinin tanımlanması

  • Sistemleri saldırgandan daha iyi tanımak ...


A web sistem fark ndal devam
Ağ / Web Sistem Farkındalığı(devam) listesi ...

  • Ağ Farkındalığı

    ağ üzerinde o an olmakta olanları bilme yeteneği

  • Web Sistem Farkındalığı

    • Web Altyapı Farkındalığı

    • Zayıflık Testleri

    • Sistem Takibi


Web sistem fark ndal
Web Sistem Farkındalığı listesi ...

  • Web Altyapı Farkındalığı

    Sistemin güncel/anlık durumu hakkında bilgi toplamak

  • Zayıflık Testleri

    Görünür/bilinir zayıflıkları öğrenmek

  • Sistemi takip etmek

    Sistemin şu anki durumunu izlemek


Toplanmas hedeflenen bilgiler
Toplanması Hedeflenen Bilgiler listesi ...

  • Web sunucusu üçüncü katman adresleri (IP adresleri),

  • Sunucu üzerindeki alan adları

    (Ör: internet.ege.edu.tr),

  • Web servisi verilen ağ kapıları (80, 8080 …vb),

  • Sunucu üzerinde çalışan işletim sistemi (Linux, Windows …vb),

  • Web sunucu yazılım türleri ve sürümleri (Apache 2.0, IIS 6.0…vb),


Toplanmas hedeflenen bilgiler devam
Toplanması Hedeflenen Bilgiler (devam) listesi ...

  • Web uygulamalarının geliştirildiği programlama dilleri türleri (cgi, php, asp,.net, jsp …vb),

  • Uygulama dosya adı,

  • Uygulama çalışma yolu (dizin yapısı),

  • Kullanılan değiştirgeler ve tipleri,

  • Sistemlere ait saldırıya açıklık raporlarıdır


Bilgi toplama sistemleri
Bilgi Toplama Sistemleri listesi ...

  • Ağ kapısı ve uygulama tarayıcıları

  • HTTP parmak izi alma sistemleri

  • Ağ trafiği çözümleme sistemleri

  • Saldırı saptama sistemleri

  • Zayıflık (saldırıya açıklık) çözümleme sistemleri

  • Arama motorları


5 ulak csirt web g venlik grubu
5. Ulak-CSIRT Web Güvenlik Grubu listesi ...

  • Eğitim ve bilinçlendirme çalışmaları: çeşitli seminerler ve toplantılar

  • Belgeleme Çalışmaları

    • OWASP İlk 10 Web Güvenlik Açığı 2007 (tercüme)

    • PHP Güvenlik Kitapçığı (hazırlanmakta)


Ulak csirt web g venlik grubu devam
Ulak-CSIRT Web Güvenlik Grubu (devam) listesi ...

  • Web Sistem farkındalığı ve eğitim konularına ağırlık verilmektedir.

  • Merkezi Zayıflık tarama sistemi denemeleri

  • Açık kaynak kodlu yazılımlar denenmektedir.


6 sonu
6. SONUÇ listesi ...

  • Kurumsal web güvenliği için, Web Güvenliği Modelindeki yöntemler uygulanmalıdır

    • Kuruma uyan yöntemler seçilmeli

    • Mümkün olduğunca fazla yöntem devreye alınmalı

    • Her yöntem sistemi daha karmaşık hale mi getirir?

  • Temel hedefler aşağıdaki gibi olmalı:

    • Web sistem farkındalığı

    • Web sunucu yöneticilerini ve programcılarını eğitmek/bilgilendirmek


Sonu devam
Sonuç listesi ... (devam)

  • Sistemler saldırı tespit sistemleri ile takip edilmelidir

  • Web sunucuları önüne web güvenlik duvarı konuşlanmalıdır.

  • ULAK-CSIRT Web Güvenliği Çalışma Grubu bünyesinde bilinçlendirme çalışmaları ve OWASP-TR ile işbirliği devam etmesi hedeflenmektedir


Sonu devam1
Sonuç listesi ... (devam)

  • Bu sunum ve “Kurumsal Web Güvenliği Altyapısı” belgesi (yakında) http://www.karaarslan.net/guvenlik.html

  • Web Güvenliği Belgeleri:

    • http://www.webguvenligi.org

    • http://websecurity.ege.edu.tr

    • http://csirt.ulakbim.gov.tr/belgeler


De i im zordur a k fikirli olmal
Değişim zordur, açık fikirli olmalı ... listesi ...

Önyargıları yok etmek, atom çekirdeğini parçalamaktan daha zordur.

Einstein


İlginiz için teşekkürler ... listesi ...


ad