Ağ ve İnternet teknolojilerinin baş döndürücü gelişme hızı, yepyeni ağ uygulamalarının ortaya çıkmasına neden olduğu gibi mevcut uygulamaların ve sistemlerin de ağ teknolojileri ile entegrasyonu konusunda kurumları zorlayıcı nitelik göstermektedir. Bilgisayar ağlarının artan kullanımı ise, hiç kuşkusuz, biz bilişim teknolojisi (BT) kullanıcıları için yepyeni kolaylıklar ve fırsatlar doğurmaktadır. Üniversitelerde ders kayıtlarının ağ üzerinden gerçekleştirilmesi, İnternet üzerinden kredi kartı aracılığı ile alışveriş yapılması ve muhtelif belge paylaşım ortamları bu yeni kolaylıklar arasında bugün sıkça kullanılanlardan birkaçı olarak sayılabilir.

Ancak BT kullanımının ayrık bilgisayar sistemlerinden birbirine bağlı ağ ortamlarına ve uygulamalarına doğru gidişi, pek çok alanda olduğu gibi bilgi güvenliği alanında da yepyeni endişeleri ve sorunları beraberinde getirmektedir. Doğrudan bilgi güvenliğini ilgilendiren bu yeni sorunlardan bazıları dağıtık erişim denetimleri, farklı ağlar arasında izolasyonların sağlanması, dağıtık verilerin bütünlüğünün korunması ve ağ üzerinden taşınan verilerin gizliliğinin sağlanmasıdır.

Ağ güvenliği ile ilintili teknolojilere göz atıldığında, bu alanda en yaygın uygulaması bulunan teknolojinin güvenlik duvarları (firewall) olduğunu öne sürmek mümkün olacaktır. Temel olarak bir güvenlik duvarı, bir ya da daha fazla ağ arasına yerleştirilen ve bu ağlar arasında belirlenen bir politika çerçevesinde izolasyon sağlayarak onları birbirinden yalıtan bir ağ bileşenidir.

Güvenlik duvarları, yaygın kanaatin aksine, tek başlarına eksiksiz bir güvenlik çözümü oluşturamamaktadır. Kişisel olarak sıkça karşılaştığım bir durum, yalnızca kaynak ve hedef bilgilerine bakarak seçici geçirgenlik gösteren “paket filtreleyen güvenlik duvarı” uygulamalarının yanlış kullanımlarıdır. İnternet’e açık web hizmeti veren bir sistemi korumak üzere kurulan bir “paket filtreleyen güvenlik duvarı sistemi” kaçınılmaz olarak bu sisteme doğru gelen tüm web istemlerini geçirmek zorundadır; ancak saldırganların web üzerinden yapabilecekleri saldırılar için herhangi bir koruma sağlanamamaktadır. Örnek sistem için aynı düzeyde koruma, doğrudan sistemin basit ayarları ile de gerçekleştirilebilir durumdadır.

Ağ güvenliğindeki ivme ile özellikle saldırı tespit sistemleri (intrusion detection systems) ve zayıflık inceleme araçları (vulnerability assessment tools) giderek önem kazanan diğer bilişim güvenliği uygulamaları olarak çözüm paketinin oluşturulması esnasında dikkatle değerlendirilmesi gereken bileşenlerdir. Bu yazımızda, saldırı tespit sistemleri ve zayıflık inceleme araçları konusunda temel kavramlardan, kullanılan teknolojilerden ve örnek ürünlerden söz edeceğiz.

Zayıflık inceleme araçları, bilgisayar sistemlerini ve ağ aktif cihazlarını inceleyerek doğrudan ya da dolaylı olarak güvenlik problemlerine neden olabilecek noktaları işaret etmeye çalışan yazılımlardır. Genel olarak bu yazılımlara inceleme öncesinde ağ üzerindeki kaynaklarla ya da ağ topolojisi ile ilgili herhangi bir bilgi verilmez. Sıfır ön-bilgi olarak nitelendirilen bu durumda, yazılımın ortalama ya da ortalamanın üstünde beceriye sahip bir saldırganın tespit edebileceği kadar zayıflığı tespit etmesi beklenir. Yazılımların bir eki olan zayıflık veri tabanları, anti-virüs yazılımları tarafından kullanılan tanım-dosyası benzeri bir yaklaşım çerçevesinde geliştirilmektedir; yeni zayıflıklara ilişkin bilgiler yazılıma sonradan zayıflık veri tabanı güncellemeleri yolu ile eklenebilmekte ya da istendiği taktirde kullanıcılar tarafından yeni zayıflık tanımları yapılabilmektedir.

Zayıflık incelemesi alanında özellikle iki ticari ürün oldukça başarılıdır; Internet Security Systems (http://www.iss.net) firmasının Internet Security Scanner’ı ve Network Associates (http://www.nai.com) firmasının Cybercop Scanner’ı. Ticari alternatifleri kadar zengin zayıflık veri tabanlarına sahip olmasalar da kayda değer ve serbestçe dağıtılan zayıflık inceleme yazılımları arasında Nessus’u (http://www.nessus.org), Saint’i (http://www.wwdsi.com/saint) ve Sara’yı (http://www.www-arc.com/sara) saymak mümkündür. Bu yazılımları büyük ölçekli bir güvenlik denetimi çalışmasında kullanmak çok mümkün olmasa da, anılan teknoloji konusunda daha net bir fikir edinmek ve yaklaşımları anlamak bağlamında faydalı olacaktır.

Dikkatle bakıldığında, bilgisayar sistemlerini ve ağ teknolojilerini korumak için kullanılan güvenlik çözümlerinin büyük bir bölümünün gerçek hayatta sıkça kullandığımız farklı güvenlik çözümlerine paralellik gösterdiğini görmekteyiz. Zayıflık inceleme araçlarını düzenli denetimler yapan gece bekçilerine, güvenlik duvarlarını ise parola denetimli ve sağlam kapılara benzetebiliriz. Bu bağlamda saldırı tespit sistemlerini ise, mağazalarda sıkça karşılaştığımız ve artık kanıksadığımız güvenlik kameralarına benzetmek mümkün olacaktır.

Elektronik saldırı tespit sistemleri, güvenlik kameralarında olduğu gibi, şüpheli durumları kayıt altına almak üzere kullanılırlar. Gerçekleşen bir saldırıyı önlemek hedeflenmemekte, yalnızca saldırı gerçekleştiğinde olabildiğince detaylı bilgilerin toplanması hedeflenmektedir. Saldırı tespit sistemleri kurumsal kullanıcılara üç temel noktada önemli faydalar sağlamaktadır:

  • Saldırıların erken tespiti: Sistem, gerçekleşen bir saldırıyı hedef ağın ya da sistemlerin yöneticilerinden önce tespit edebilir. Bu özellik sayesinde bir saldırı tespit edilir edilmez sorumlu yöneticilere SMS, e-posta vb. yöntemler ile alarm ulaştırılması ve bu yolla saldırılara karşı olabildiğince erken önlem alınması sağlanabilir.
  • Saldırılara ilişkin detaylı bilgi toplanması: Saldırı tespit sistemleri sayesinde, sona ermiş ya da sürmekte olan bir saldırı hakkında detaylı bilgiler edinilebilir. Bu bilgiler, saldırının boyutları ve muhtemel saldırganlar konusunda analizler yapılması noktasında anlamlı olacaktır.
  • Saldırılara ilişkin delil toplanması: Saldırı tespit sistemi tarafından toplanan bilgiler saldırı sonrasında, mahkemeye ya da saldırının kaynağı olarak görüşen ağın sorumlularına baş vururken delil olarak kullanılabilir.

Saldırı tespit sistemleri, saldırının tespit edildiği noktaya göre iki grupta incelenmektedir. Sunucu temelli saldırı tespit sistemleri (host based intrusion detection systems), bir sunucu bilgisayar üzerinde çalışan ve bilgisayar sistemi üzerindeki aktiviteyi inceleyerek, muhtemel bir kötüye kullanımı ya da saldırıyı tespit etmeye çalışan sistemlerdir. Ağ temelli saldırı tespit sistemleri ise, ağın üzerinde kritik bölgelerde konuşlandırılmış alıcılar aracılığı ile ağ aktivitesini izlemeyi ve saldırıları ağ üzerinde tespit etmeyi hedeflemektedirler.

Sunucu temelli saldırı tespit teknolojisi göreli daha eski bir teknolojidir ve platform bağımlılığı nedeni ile geliştiriciler tarafından tercih edilmemektedirler. Örneğin Sun Solaris platformunda çalışmak üzere yazılan bir sunucu temelli saldırı tespit sistemini HP-UX platformuna taşımak ya çok zahmetli olmakta ya da mümkün olamamaktadır. Bu temel gerekçe ile ağ temelli saldırı tespit sistemleri giderek sunucu temelli olanların yerini almaktadırlar.

Ağ temelli çözümlerde, tek amacı ağ trafiğini izlemek olan adanmış sistemler ağın kritik noktalarına yerleştirilmekte, bu alıcı sistemler tarafından üretilen alarmlar merkezi bir sistem üzerinde toplanmaktadır. Tüm alıcıların verilerinin birleştirilmesi sureti ile saldırının boyutu ve hedefi konusunda daha keskin tanımlar yapılabilmekte, sorumlu yöneticilere iletilecek alarmlar için daha rafine bilgiler kullanılabilmektedir.

Saldırı tespit sistemleri pazarına göz attığımızda, bu pazardaki en önemli iki ürünün Internet Security Systems (http://www.iss.net) firmasının RealSecure ve Cisco Systems’ın (http://www.cisco.com) NetRanger olduğunu görmekteyiz. Serbestçe dağıtılan ürünler arasında ise özellikle Snort yazılımının (http://www.snort.org) başarılı olduğunu söylemek mümkündür. Saldırı imzalarının düzenli olarak güncellendiği Snort yazılımı ile oldukça farklı sayıda ve türde saldırıyı tespit edebilmek mümkün olacaktır.

Linux Kullanıcıları Derneği tarafından işletilen web, ftp ve e-posta hizmetlerini taşıyan bilgisayar sistemine (http://www.linux.org.tr) gerçekleştirilen saldırılar, farklı saldırı tespit yazılımları aracılığı ile izlenmektedir. Hizmet birimi, günlük ortalama 20000 web sayfası istemini yanıtlamakta ve 1.3GB veriyi ftp aracılığı ile sunmaktadır. Anılan sistem haftada 70 kadar saldırıya maruz kalmakta ve tümüne ilişkin bilgiler kayıt altına alınmaktadır. Bir saldırı tespit sistemini İnternet sunucularınız üzerine kurduğunuzda siz de tahminlerinizin çok üzerindeki hacimde saldırıları gözlemlemeyi bekleyebilirsiniz; sizin bilgisayarınızda önemli bilgiler olmasa da sizin bilgisayarınızı daha büyük bir saldırı için basamak olarak kullanmak bir saldırganı memnun edebilir.

Bankalar ve diğer finans kuruluşları başta olmak üzere bir çok kurumda kullanılan saldırı tespit sistemleri, giderek artan bir biçimde bilişim güvenliği çözümlerinin ayrılmaz birer parçası olmaktadır. Türkiye’de de saldırı tespit ve zayıflık inceleme teknolojilerinin kullanımı giderek artıyor olmasına rağmen, kullanımın artış hızı gereksinimi karşılamaktan çok uzaktır. Dileğimiz, bilgi güvenliği konusunun hak ettiği önemi ülkemizde de görmesidir.

Bilişim güvenliği ile ilgili bilgi edinmek isteyenler http://www.securityfocus.com adresindeki web sitesini bir başlangıç noktası olarak kullanabilirler. Bu yazı ile ya da bilişim güvenliği ile ilintili her türlü konu için yazara aşağıdaki adresinden e-posta yolu ile ulaşabilirsiniz.

Yazar Hakkında

Anonim {arifalakara}alakaraarif@gmail.com

Yorumlar


Sen de Yorumla!