1 / 59

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan Ege Üniv. Kampüs Ağ Yöneticisi, ULAK-CSIRT üyesi ULAK-CSIRT http://csirt.ulakbim.gov.tr /. İÇERİK. 1 . Güvenlik Hakkında Temel Bilgiler 2. Neden Web Güvenliği 3. Kurumsal Web Güvenliği Modeli Standar t ları Oluşturma/Uygulama

lavey
Download Presentation

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan Ege Üniv. Kampüs Ağ Yöneticisi, ULAK-CSIRT üyesi ULAK-CSIRT http://csirt.ulakbim.gov.tr/

  2. İÇERİK 1. Güvenlik Hakkında Temel Bilgiler 2. Neden Web Güvenliği 3. Kurumsal Web Güvenliği Modeli • Standartları Oluşturma/Uygulama • Güvenli Kodlama • Eğitim / Sınama • Ağ / web sistem farkındalığı • Saldırı Saptama • Saldırı Engelleme • Kurtarma • Koordinasyon Merkezi

  3. İÇERİK (devam) 4. Ağ ve Web Sistem Farkındalığı 5. ULAK-CSIRT Web Güvenliği Grubu 6. Sonuç

  4. 1. Güvenlik Hakkında Bazı Temel Bilgiler

  5. SALDIRI SALDIRGAN GÜVENLİK ÖNLEMLERİ ZAYIFLIK BİLGİ SİSTEMİ KULLANICILAR Bilgi Sistemi ve Güvenlik

  6. Zayıflıkları çözmek ... • Zayıflık: Her sistemde bilinen veya henüz bilinmeyen güvenlik açıkları vardır. • Zayıflığın öğrenilmesinden sonra, o zayıflığı kaldıracak önlemlerin (yama, ayar) uygulanması arasında geçen zaman önemlidir.

  7. Bir zayıflık ve yaşananların kronolojik sıradaki listesi ...

  8. Güvenlik bir ürün değil, bir süreçtir. Security is a process, not a product. Bruce Schneier

  9. Temel Güvenlik Önlemleri • Bilgi sistemlerinin güvenlik düşünülerek tasarlanması ve uygulanması (secure by design) • Zayıflıkların/saldırıların tespiti • Mümkün olduğunca saldırıların engellenmesi, • Riskin azaltılması • Saldırganın işinin zorlaştırılması

  10. Güvenlik esasları ... • Bir zincir, ancak en zayıf halkası kadar güçlüdür. • O zaman tek bir zincire güvenmemek gerekir ... • Mümkün olduğunca farklı önlemler alınmalıdır.

  11. Çok Katmanlı Güvenlik

  12. Çok Katmanlı Güvenlik Örneği Her alt katman da birçok katmandan oluşabilir.

  13. Güvenlik ve kullanışlılık? Tabii ki karikatürdeki gibi olmamalıdır. Güvenlik önlemleri, sistemin kullanılmasını zor duruma getirmemelidir.

  14. 2. Neden Web Güvenliği ?

  15. Web Tabanlı Sistemler • Web (sunucu) kullanımı artıyor • bilgi sistemleri, ağ cihazları ... Vb • Web uygulamalarının ve bu ortamdaki bilginin artması • Kurumun dünyaya açılan penceresi • Hızlıca ve güvenlik düşünülmeden yapılan kurulumlar

  16. Katmansal Web Güvenlik Yapısı

  17. Web Uygulaması

  18. En Yaygın Web Uygulama Zayıflık Sınıfları

  19. Neden Web Güvenliği ? • Web tabanlı saldırılar artmakta • Zone-H– 400,000 (%36) artış (2004) • CSI-FBI – “Computer Crime and Security Survey” – Ankete katılanların %95’i, 2005 senesinde 10 adetten fazla web sitesi saldırısı vakasıyaşamış

  20. Neden Web Güvenliği? (devam) • Web güvenliği sağlanamadığında kayıplar: • Maddi kayıp (Özellikle e-ticaret ile para aktarımı, banka uygulamalarında), • Güven kaybı, • Şirket verilerinin kaybı ile yaşanabilecek ticari risk, • Kişisel bilgilerin gizli kalma hakkının ihlali, • Ağda oluşabilecek zayıf noktadan kaynaklanabilecek diğer saldırılar.

  21. Web Saldırı Örnekleri • Sayfalar değiştirilir • Sayfalar değiştirilmez, siteden bilgiler çalınır ve yöneticilerin haberi olmaz. • Site kullanılarak kullanıcı bilgileri çalınmaya devam eder.

  22. Güvenlik İhlalinden Sorumlu Kim? • Ağ / ağ güvenliği yöneticisi? • Sunucu - veritabanı Yöneticisi? • Programcı • Hiçbiri • Hepsi

  23. Web Güvenliğinde Temel Problemler • Web güvenliğine yeterli önem ve dikkatin verilmemesi • Geleneksel yöntemlerin yetersizliği • Yetersiz web sunucu güvenliği • Güvenli kodlama “secure coding” yapılmaması

  24. Eğer bu kadar kötü yazılım güvenliğine sahip olmasaydık, bu kadar çok ağ güvenliğine ihtiyacımız olmayacaktı Bruce Schneier

  25. Bir savaşı yenmek için, bireyin yöntemi bilmesi gerekirSun TzuSavaş Sanatı“The Art of War”

  26. 3. Kurumsal Web Güvenliği Modeli

  27. Kurumsal Ağlarda Web Sistemleri • Üniversite ağları gibi büyük kurumsal ağlarda, • farklı ve çok sayıda web sistemleri, • farklı ekipler bulunmaktadır. • Güvenliğini sağlamak için • Daha kapsamlı sistemler kullanılmalı • Birbirleriyle etkileşimli çalışmalı

  28. Kurumsal Web Güvenliği Modeli • Standartlaştırma • Güvenli Kodlama • Sistem Farkındalığı • Eğitim / Sınama • Saldırı Saptama • Saldırı Engelleme • Kurtarma • Eşgüdüm Merkezi

  29. 3.1. Standartlaştırma • Politika tabanlı: Kullanım ve güvenlik politikaları Neye izin verilir, neye izin verilmez. • Önerilen sistemin tanımlanması Şablonlar, iyi uygulama örnekleri, • Güvenli Kodlama • Belgeleme

  30. 3.2. Güvenli Kodlama • Yazılım geliştirme yaşam döngüsü (SDLC) içerisinde güvenli kodlama yapılmalı ve zayıflık (vulnerability) testleri gerçekleştirilmeli • Güvence (Assurance) Modelleri: Ex. OWASP Clasp, Microsoft SDL • OWASP Güvenli Kodlama Belgeleri: http://www.owasp.org

  31. Yazılım Geliştirirken Temel Esaslar • Kullanıcı Görev/Yetki tanımlama • Farklı güvenlik düzeyleri • En az yetki • Güvenli varsayılan ayarlar • Kademeli savunma • Önlemleri yalın tutmak • Saldırı alanını azaltmak • Güvenli düşmek

  32. Güvenli Kodlama (devam) • Girdi /çıktı denetiminin önemi • Yazılım kütüphaneleri ve sınıfları güvenli kodlama esaslarına göre geliştirilmeli, • Güvenli kodlamayı destekleyen geliştirme ortamları (Ör: Strutus)

  33. Güvenli Kodlama (devam) Yeterince uygulanamamasının nedenleri • Projeyi bitiş zamanına yetiştirme, • Programcıların güvenli kodlama süreçleri hakkında yeterince bilgi sahip olmaması, • Müşterinin, bu konudaki beklentisini / yaptırımını vurgulamaması. Mümkün olduğunca çok önem verilmelidir.

  34. 3.3. Eğitim / Test • Çalıştay ve Çalışma Grupları Güvenli kodlama örnekleri ve saldırı senaryoları • Eğitim Portalı • Kurumun projeleri ile ilgili iyi uygulama örnekleri • Kılavuzlar, standartlar

  35. Eğitim / Test (devam) • Test Sunucusu • Kaynak kod analizi • Kara kutu analizleri (kaynak koda ulaşmadan)

  36. 3.4. Ağ / Web Sistem Farkındalığı • Sistemleri koruyabilmek için öncelikle korunması gereken sistemleri tanımak/tanımlamak gerekir. • Ayrı bir bölüm olarak birazdan ayrıntıları verilecek ...

  37. 3.5. Saldırı Engelleme • Ağ Tabanlı Erişim Denetimi Örn.Ağ güvenliği duvarı, yönlendirici erişim listesi • Sunucu Yerel Güvenliği Örn. Mod Security • Web Uygulama Güvenlik Duvarı / Ters Vekil Örn. Mod Security – Mod Rewrite

  38. Ters Vekil Sunucu

  39. 3.6. Saldırı Saptama • Saldırı Saptama Sistemleri Örn. Snort, Mod Security • Günlük (Log)Dosyası Denetimi • Saldırgan Tuzağı Ağları (Honeynet, Honeypot)

  40. 3.7. Kurtarma • Sistem saldırıya uğradığında • Acil Durum Planı var mı? • Yedek sunucu ? • Yedeklenen veriler ? • Adli inceleme ihtiyacı ?

  41. Kurtarma Aşamaları • Sunucuya erişimin engellenmesi • Ayrıntılı inceleme • Saldırıların etkilerini temizleme • Sistemi yeniden çalıştırma • Kullanıcıların durumdan haberdar edilmesi • Saldırganın saptanması

  42. 3.8. Koordinasyon Merkezi • Çok katmanlı güvenlik yapısında güvenlik önlemlerinin aşağıdaki şekilde çalışmasını sağlayacak bir sunucudur (sistemdir): • Birbirleriyle etkileşimli • Etkin

  43. 4. Ağ / Web Sistem Farkındalığı

  44. 4. Ağ / Web Sistem Farkındalığı • Saldırganı tanımak (?) • Kendini tanımak, Değerleri, neyin korunması gerektiğinin tanımlanması • Sistemleri saldırgandan daha iyi tanımak ...

  45. Ağ / Web Sistem Farkındalığı(devam) • Ağ Farkındalığı ağ üzerinde o an olmakta olanları bilme yeteneği • Web Sistem Farkındalığı • Web Altyapı Farkındalığı • Zayıflık Testleri • Sistem Takibi

  46. Web Sistem Farkındalığı • Web Altyapı Farkındalığı Sistemin güncel/anlık durumu hakkında bilgi toplamak • Zayıflık Testleri Görünür/bilinir zayıflıkları öğrenmek • Sistemi takip etmek Sistemin şu anki durumunu izlemek

  47. Toplanması Hedeflenen Bilgiler • Web sunucusu üçüncü katman adresleri (IP adresleri), • Sunucu üzerindeki alan adları (Ör: internet.ege.edu.tr), • Web servisi verilen ağ kapıları (80, 8080 …vb), • Sunucu üzerinde çalışan işletim sistemi (Linux, Windows …vb), • Web sunucu yazılım türleri ve sürümleri (Apache 2.0, IIS 6.0…vb),

More Related