Network Guvenligi Temelleri

5,273 views

Published on

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,273
On SlideShare
0
From Embeds
0
Number of Embeds
38
Actions
Shares
0
Downloads
148
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Network Guvenligi Temelleri

  1. 1. Network (Ağ) Güvenliği Temelleri Ar. Gör. Enis Karaaslan Ege Üniversitesi Network Yönetim Grubu Ağ Güvenliği Yöneticisi
  2. 2. Ağ (Network) Nedir? <ul><li>Ağ (network), paylaşım amacıyla iki ya da daha fazla cihazın bir araya getirilmesiyle oluşturulan bir yapıdır. </li></ul><ul><li>Ağları dört ana sınıfta toplayabiliriz : </li></ul><ul><ul><li>Yerel Ağlar(LAN): Bina veya ofis içi gibi sınırlı alanlar dahilinde kurulurlar. Diğer ağ tiplerine göre daha hızlı çalışırlar. (1-100m) </li></ul></ul><ul><ul><li>Kampüs Ağları: Birbirine yakın olan binalar arasında bilgi ve kaynak paylaşımını sağlarlar. (1 - 10 km) </li></ul></ul><ul><ul><li>Ulusal Ağlar: (10-100 km) </li></ul></ul><ul><ul><li>Uluslararası Ağlar (100 km + ) </li></ul></ul>
  3. 3. Güvenlik Servisleri <ul><li>Gizlilik (Confidentiality) </li></ul><ul><li>Özgünlük (Authentication) </li></ul><ul><li>Doğruluk - Bütünlük (Integrity) </li></ul><ul><li>Mevcudiyet (Availability) </li></ul><ul><li>Rededilme (Nonrepudiation) </li></ul><ul><li>Erişim Kontrolü (Access Control) </li></ul><ul><li>Zamanında Olma ( Timeliness) </li></ul>
  4. 4. <ul><li>Bir zincir, ancak en zayıf halkası kadar güçlüdür. </li></ul>
  5. 5. Güvenliğin Sağlanması Gereken Ortamlar <ul><li>Bilgisayar Güvenliği </li></ul><ul><ul><li>Fiziksel Güvenlik </li></ul></ul><ul><ul><li>İşletim Sistemi ve Uygulamaların Güvenliği </li></ul></ul><ul><ul><li>Kullanıcı Yönetimi </li></ul></ul><ul><li>Ağ Güvenliği </li></ul><ul><ul><li>İletişimi sağlayan cihazların güvenliği </li></ul></ul><ul><ul><li>Ateş Duvarı (Firewall) </li></ul></ul><ul><ul><li>Saldırı Tespit Sistemleri (Intrusion Detection Systems) </li></ul></ul><ul><li>Şifreleme (Encryption) </li></ul>
  6. 6. Hacker <ul><li>`Saldırgan` (hacker) sisteminizin güvenliğini geçmeyi ve kendi amacları doğrultusunda kullanmayı amaçlayan kişidir. </li></ul>
  7. 7. Güvenlik Politikası <ul><li>Her kurum için yazılı bir Güvenlik Politikası (Security Policy) bulunmalıdır. </li></ul><ul><li>Güvenlik politikası, kurumun ağına ve ağ üzerindeki özkaynaklara erişim kurallarını taslak olarak ortaya koyan, politikaların nasıl uygulanacağını belirten ve güvenlik ortamına ilişkin temel mimarinin bir kısmının çerçevesini çizen genel, kapsamlı bir dokümandır. </li></ul><ul><li>Bu politika kullanıcıların dikkatine sunulmalıdır. </li></ul>
  8. 8. Ağ Güvenliği <ul><li>Internet Bağlantısını sağlayan router’in arkasına “firewall” koyarak dışarıdan gelen saldırılara karşı koymak. </li></ul><ul><li>Email, http, ftp trafiği üzerinde virüs taraması yapan Viruswall Çözümleri </li></ul><ul><li>Yönetilen ağların Saldırı Tespit Sistemleri (IDS) ile kontrol edilmesi. </li></ul><ul><li>Yerel ağda Ağ trafiğinin üzerinden geçtiği cihazların güvenliğinin sağlanması. </li></ul><ul><li>Uç noktaların Internet altyapısı üzerinden birbirine bağlanmasında VPN çözümleri </li></ul><ul><li>Her türlü ağ için verinin şifrelenmesi </li></ul>
  9. 9. Firewall (Ateş Duvarı) <ul><li>Ağlar arası erişimi kural tabanlı belirler </li></ul><ul><li>Yazılım veya donanım tabanlıdır. </li></ul><ul><li>Mimarileri </li></ul><ul><ul><li>Statik Paket Filtreleme </li></ul></ul><ul><ul><li>Dinamik Paket Filtreleme (Statefull inspection) </li></ul></ul><ul><ul><li>Uygulama Seviyesinde Koruma (proxy) </li></ul></ul><ul><li>Türlü formatta kayıt ve uyarı sunabilirler </li></ul>
  10. 10. Firewall (Ateş Duvarı)
  11. 11. Ağ Tabanlı Anti-Virus Sistemleri <ul><li>Mail Hub (Ana email dağıtıcısı) </li></ul><ul><ul><li>Ağ ortamındaki mail trafiğinde; virüs, worm ve trojanları tespit ve silme. </li></ul></ul><ul><ul><li>Spam Engelleme </li></ul></ul><ul><li>Http, ftp trafiğini de denetleyenleri bulunur. </li></ul><ul><li>İmzaları tanımlanmamış virüsler de “heuristic” yöntemlerle tespit edilebilir. </li></ul>
  12. 12. İletişim Protokolleri <ul><li>İletişim protokolleri tasarlanırken sistemin çalışması hedeflenmiş ama güvenlik konusu göz ardı edilmiştir. </li></ul><ul><li>Mümkün olduğunda yeni versiyonlara geçilmelidir </li></ul><ul><ul><li>ip versiyon4  ip versiyon6 </li></ul></ul><ul><ul><li>snmp versiyon 1  snmp versiyon 2 </li></ul></ul><ul><li>Bazı protokollerin kullanımı mümkün olduğunca azaltılmalıdır. </li></ul><ul><li>Ör: Netbios (ve ağ paylaşımı) </li></ul>
  13. 13. Ağ Cihazlarının Güvenliği <ul><li>Fiziksel Güvenlik </li></ul><ul><li>İşletim Sistemlerinin Terfisi - TFTP veya FTP ile i şletim Sistemi Dağıtımı </li></ul><ul><li>Erişim Listeleri - Cihazlara sadece belirli IP adreslerinin ulaşmasına izin verilmelidir . </li></ul><ul><li>Şifre Seçimi- K ullanan kişi tarafından hatırlanması kolay, saldırgan tarafından tahmin edilmesi zor olmalıdır. </li></ul><ul><li>HTTP - Mümkün olduğunca http protokolü ile (web üzerinden) cihazlar yönetilmemelidir </li></ul>
  14. 14. Ağ Cihazlarının Güvenliği (devam) <ul><li>SSH - Telnet yerine SSH ile cihazlara erişim </li></ul><ul><li>SNMP ayarları – Varsayılan ayarlar değiştirilmelidir. </li></ul><ul><ul><li>Sadece Oku ( Read only ) ve Oku-Yaz ( Read-Write ) erişimleri için kullanılan varsayılan SNMP şifre leri ( community ) değiştirilmeli </li></ul></ul><ul><ul><li>SNMP Version 2 </li></ul></ul><ul><li>Kayıtlama (Logging) - çeşitli hadiseler ( event ) hakkında kayıtlama </li></ul><ul><li>Virtual Lan (VLAN - sanal ağlar) kullanılarak kullanıcıları fiziksel lokasyonundan bağımsız olarak gruplamak, farklı subnetlerde toplamak mümkündür. </li></ul>
  15. 15. Saldırı Tespit Sistemleri (IDS) <ul><li>Saldırı Tespiti Sistem'leri (Intrusion Detection Systems), bilgisayar sisteminize ve ağ kaynaklarınıza olan saldırıları tespit etmek, sistemi izleyip anormal olan durumları saptamak ve bunlara karşı gerekli önlemleri almayı amaçlayan güvenlik sistemleridir. </li></ul><ul><li>Saldırı Tespit Sistemleri denetlediği veriler açısından iki ana gruba ayrılabilir. </li></ul><ul><ul><li>Ağ Bazlı: </li></ul></ul><ul><ul><li>Ör: Packet Sniffer, Network Monitors (prosmiscuous mode) </li></ul></ul><ul><ul><li>Sunucu (host) Tabanlı: </li></ul></ul><ul><ul><li>Ör: Network Monitor, Host Monitor </li></ul></ul>
  16. 16. Saldırı Tespit Sistemleri (IDS) <ul><li>Kullandığı teknikler açısından IDS iki ana gruptan oluşur: </li></ul><ul><li>Kalıp Eşleştirme (Signature) Sistemleri: Önceden tespit edilmiş saldırıların eş zamanlı olarak işleyici tarafından karşılaştırılmasını esas alır. </li></ul><ul><li>Ör: Snort vb. </li></ul><ul><li>Anormallik Algılayıcı (Anomaly Detection) Sistemleri: Sistemi önce öğrenen, istatistiksel olarak normal çalışma yapısını çıkaran sistemlerdir. Buna göre anormal davranışları yakalarlar. </li></ul><ul><li>Ör: Cylant Secure, NFR(Network Flight Recorder) vb. </li></ul>
  17. 17. Virtual Private Networks (VPN) <ul><li>Birden fazla sistem veya ağın, güvensiz ağlar üzerinden güvenli iletişimini sağlayan ağ bileşenidir. </li></ul><ul><li>Donanım veya yazılım tabanlıdır. </li></ul><ul><li>Harici Onaylama Sistemleri (Radius, Tacacs) ile birlikte kullanılmaları önerilmektedir. </li></ul>
  18. 18. Şifreleme <ul><li>Verinin şifrelenerek gönderilmesi (encryption), şifre kullanılarak açıklası (decryption) </li></ul><ul><li>Şifrelemede anahtar kullanımında: </li></ul><ul><ul><li>Simetrik (Conventional)– İki anahtar da aynıysa </li></ul></ul><ul><ul><li>Asimetrik – ( Public Key Encryption ) – Anahtar çifti (public, private) </li></ul></ul>
  19. 19. Şifreleme <ul><li>Kırılamayan Şifreler – “One Time Pad” </li></ul><ul><li>Şifrelenmiş bir veri ele geçtiğinde </li></ul><ul><ul><li>Ne kadar sürede kırılır? </li></ul></ul><ul><ul><li>Bu işlem için ne kadar işlem gücü gerekir? </li></ul></ul><ul><li>Şifrelemeyle ilgilenen bilm dalı: </li></ul><ul><ul><li>Kriptografi (Cryptology) </li></ul></ul>
  20. 20. Ağ Güvenliği <ul><li>Kurum bünyesinde “Güvenlik Politikası” oluşturulmaldır. </li></ul><ul><li>Ağ güvenliği sadece bir ”G üvenlik D uvarı ” alınarak sağlanamaz. </li></ul><ul><li>Saldırı Tespit Sistemleri (IDS) ile sistem devamlı kontrol edilmelidir. </li></ul><ul><li>Önemli ve kritik bilgiler mutlaka şifrelenerek gönderilmelidir. </li></ul><ul><li>Ağa bağlı her elemanın güvenliği belirli seviyelerde sağlanmalı ve sistem devamlı kontrol altında tutulmalıdır. </li></ul><ul><li>“ Acil Durum Planı” oluşturulmalıdır. </li></ul><ul><li>Ağ güvenliği yönetiminin sürekli devam eden bir süreç olduğu unutulmamalıdır. </li></ul>
  21. 21. Linkler <ul><li>Daha detaylı bilgi için: </li></ul><ul><li>Ege Üniv. Güvenlik Grubu, </li></ul><ul><li>http://security.ege.edu.tr </li></ul><ul><li>CERT, http://www.cert.org </li></ul><ul><li>Olympos Security, </li></ul><ul><li>http://www.olympos.org </li></ul><ul><li>Güvenlik Haber, </li></ul><ul><li>http://www.guvenlikhaber.com </li></ul><ul><li>Ege Üniv. Cisco Network Akademisi, </li></ul><ul><li>http://cnap.ege.edu.tr </li></ul>
  22. 22. İletişim: Ar. Gör. Enis Karaaslan [email_address] Dinlediğiniz için teşekkürler. Sorularınızı bekliyorum...

×