TOPIC:

Bilgi sistemlerini bir ağa bağlanmadan çalışan kaç kullanıcı kalmış olabileceğini bir düşünelim. Bu teknolojik gelişim sürecinde, network güvenliğinin önemi, gün geçtikçe artmaktadır.

Bu durum netbook, pda, üçüncü nesil mobil iletişim ve benzeri yeni tür kişisel bilgisayarların kullanımının çoğalması, birden çok bağlantının sağlanabileceği İnternet ağlarının artık hemen her köşeden kurulabilecek kadar yaygınlaşmış olması ile daha karmaşık bir hal almaktadır. İnternete erişim için sağlanan kolaylıklar, bütün bu açıklıkların da varlığını artırmaktadır. Süreç gerek İnternet gerekse lokal ağlarda hangi zaman diliminde hangi bilgisayar ile network üzerinde bağlantının kurulduğuna dair log kayıtlarını tutma gereğini de, ileride olası araştırmalar nedeniyle iz kayıtlarını da gerekli kılmaktadır.

Öte yandan, güvenlik sağlamaya yönelik araçlar, sorunsuz, daha şeffaf ve çok daha fazla esnek yapılara sahip olmalıdır. Güvenlik kelimesini sadece kötü niyetli ataklara karşı korunmak şeklinde adlandırmak yerine, etkin ve iyi kontrol edilmiş sistemlerin geliştirilmesi olarak ifade etmek günün koşullarına daha uygun bir tanım olabilir.

AĞ’DA ZAYIFLIKLAR, TEHDİTLER VE ATAKLAR
Ağ güvenliği için kullanılmakta olan üç adet yaygın terim bulunmaktadır: güvenlik açığı diğer anlamı ile zayıflıklar-zaafiyetler (vulnerability), tehditler ve ataklar. Açıklık araştıran beyaz-gri-siyah şapkalı hacker’lar, güvenlik amaçlı kullanılan cihazlar dahil olmak üzere, router, switch, masaüstü bilgisayarlar, sunucular gibi hemen her ağ cihazı üzerinde yeni eksiklikler/açıklıklar bulmaya devam edecektir.

Çeşitli araçlar, scriptler (program parçacıkları) ve yazılımlar ile bir çok atak girişimi gerçekleştirilebilir. Bu atakların sıklıkla ulaşmaya çalıştıkları sunucu sistemler olmakla birlikte kişisel bilgisayarlarda en az sunucular kadar tehdit altındadır. (İngilizce yaygın kullanımları, Vulnerabilities, Threats And Attacks’dir.)

Zaafiyetler

Başlıca üç tip zayıflıktan söz etmek gerekir.

Teknolojik Zaafiyetler

Bilgisayar sistemleri ve ağlar kendi yapıları içerisinde zayıflıklar içermektedir. Bunlar arasında TCP/IP protokol demeti ve ağ ekipmanları da bulunmaktadır. Özellikle ağ ekipmanlarının fiziksel olarak güvenliği sağlanmalıdır.

Konfigürasyon Hataları

Bir çok sistemde güvenlik açısından yeterli yapılandırma bulunmamaktadır. Örneğin unix sunucularda, direk olarak sisteme ulaşan kullanıcıların yanlış şifre denemelerinde ön tanımlarda (default configuration) bir engelleme yapılmadığı çok rastlanılan bir husustur. Yazıyı okurken Telnet ile erişebildiğiniz switch’leri düşünebilirsiniz. Neden SSH olmasın?

Güvenlik Politikalarında Zayıflıklar

Güvenlik politikalarındaki zayıflıklar önceden tahmin edilemeyen tehditlerin oluşumuna neden olabilirler. Kullanıcıların takip etmekte zorlandıkları politikalar, beklenmedik güvenlik açıkları doğurabilir. Örneğin kullanıcı kodu ve şifrenin paylaştırılması gibi. (İnsan: Bilgi Güvenliğinde halen en zayıf halkadır.)

Tehditler

Başlıca dört adet tehdit türü bulunmaktadır.

Yapısal olmayan tehditler

Yapılandırılmamış tehditler çok deneyimsiz kişilerce, kolay yollardan bulunabilecek hacker ve cracker araçları sayesinde kolayca kullanılabilir.

Yapısal Tehditler

Yapısal tehditler, bu tip girişimler konusunda bir çok deneyime sahip ve bir şekilde motive olmuş girişimcilerin ürünüdür. Zayıflıklar konusunda düşünülemeyecek ölçüde bilgi sahibi olabilirler. Bu gruptaki kişiler sık sık kurumsal firmaların ağlarına sızmak isteyebilirler. Büyük dolandırıcılık ve hırsızlık vakaları bu tip girişimlerin sonucudur. Sosyal mühendislik saldırıları da bu grup içerisinde yer alır.

Dış Tehditler

Yapısal tehditler içeriden veya dışarıdan başlatılarak yönetilebilen girişimlerdir. Direk olarak dışarıdan içeriye doğru bir tehdit grubunun oluşmasının nedeni, erişim kolaylığı sağlamak üzere oluşturulmuş olan Vpn, çevirmeli ağ üzerinden erişim veya kablosuz network erişimleri üzerinden gerçekleşebilir. Unutulmuş açık bir bağlantı bu tip bir tehdide örnek olarak gösterilebilir.

Dahili Tehditler

Bir sunucu üzerinde hesap sahibi olan, yetkilendirilmiş olarak ağa erişebilen veya fiziksel olarak network cihazlarına ulaşabilen lokasyonlardaki her tip kullanıcı, iç tehdit unsuru olarak gösterilebilir.

Tehditlerin, yukarıda bahsettiğimiz zayıflıkları kullanarak bir girişimden sonuç alabilmesi için atak işleminin gerçekleştirilmesi gerekir. (Zaafiyet üzerine gelen tehdit unsurları, girişimler ile beklenmedik veya önceden risk değeri düşük bırakılmış, riski meydana getirirler.)

Ataklar (Girişimler)

Ataklar aşağıda anlatıldığı gibi dört ayrı sınıfa ayrılabilir.

Keşif amaçlı ataklar

Keşif atakları, erişim hakkı bulunulmayan sistemlere erişmek için servisler hakkında bilgi toplamayı, sistem haritasını çıkarabilmeyi, zayıflıkları tespit etmek üzere (açık bir pencere var mı?) araştırma işlemleridir. Bu durum bilgi toplama aşaması olarak da adlandırılabilir. Çoğunlukla izinsiz erişim ve servis kesintisine (Denial Of Service) neden olabilecek girişimlerdir. Sadece DOS amacı ile yapılan atak tipi de bulunmaktadır. Bu tip atakların önceden kestirimi oldukça güç bir konudur. Ağ üzerinde bilgi toplamak üzere kurulmuş bir araç ile girişimi tespit etmek üzere, önceden belirlenmiş veya kestirim yaparak alarm oluşturmaya yönelik girişim tespit etme sistemleri, yine biriktirilmiş olabilecek log kayıtlarından yararlanmak durumundadır. (Reconnaissance kelimesi ile araştırma yapabilirsiniz.)

Erişim sağlamaya yönelik ataklar

Bir hesap ve şifresi olmayan girişimcinin, bir cihaz veya sisteme erişim yeteneği elde etmesine yönelik atak tipidir. Bu nedenle sistemde yetkisiz erişim iz kayıtlarının tutuluyor olması bu tip girişimlerin tespiti açısından yararlı olacaktır. (Hatta alarm üretmesini düşünebilirsiniz.) Bloke edilmemiş hesaplar üzerinden sayısız şifre denemesi yapabilen atak araçları bulunmaktadır. Bu durum en çok fonksiyonel kimlikler (bir yazılımın veritabanına ulaşmak için kullandığı gömülü veya şifreli hesaplar) ile sistem yöneticisi şifreleri için geçerli olabilmektedir. İş riskleri nedeni ile bloke etme özelliği konulmamış hesaplar bu tip tehditlere maruz kalabilmektedir.

Servisleri kesintiye uğratmaya yönelik ataklar (DoS)

Servis kesintisi atakları (Denial of service) bir ağı kullanılmaz hale getirmek, bozmak veya kasıtlı olarak belli kullanıcıları servis kesintine uğratmak amaçlıdır. Bu tip ataklarda servis performanslarının düşmesi ile neticelenen pek çok durum da yaşanmaktadır. Bir çok sistem “daemon veya service” olarak adlandırılan, sürekli olarak talep bekleyen bir bilgi sistemi mimarisi barındırır. Bu nedenle bir şekilde bu talebi İnternet üzerinden genel kullanıma açık veya sınırlandırılmış olarak erişilecek şekilde kullanıcılar yapmaktadır. Bu talebi yapabilecek noktada olan girişimci, bir çok yöntemle servis kesintisi atakları gerçekleştirebilir. Servis kesintisine sebep olan kaynak noktanın tespit edilmesi önlem almak açısından gerekebilir. Ancak yukarda anlatılan nedenlerden dolayı tehdit olasılığı yüksek olan bir atak tipidir.

Solucanlar, Virüsler ve Truva atları (Worms, Viruses and Trojan Horses)

Kötü niyetli yazılımlar sistemlere zarar vermek, bozulmalarını sağlamak, girişimciye her tür bilgiyi transfer edebilmek, servis kesintisi yaratabilmek amaçlıdır. Solucanlar, virusler ve turuva atları olarak adlandırılmaktadır. Hemen her kötü niyetli yazılımın çalışma şekline, bilgisayar üzerinde kapladığı alan ve yerleştirdiği servis ile yaptığı işe göre oluşan bir imzası (signature) bulunmaktadır. Bu da network üzerinde dinleme ve log toplama faaliyetlerinin gereğini ortaya çıkartır. Zira bu imzalar sayesinde, iz kayıtlarından yararlanarak bu tip atakları daha fazla zaman geçirmeden tespit etmek mümkün olabilir.