Ağlardaki 10 En Önemli Açık

Hacker'ların sayılarının hızla artması ve ağlara sızmak için sürekli yeni ve sinsi gibi yöntemlerin geliştirilmesi, ağ güvenliğini en önemli konulardan biri dueumuna getiriyor. CHIP ağınızı bekleyen tehlikeleri ve bujlardan korunma yöntemlerini anlatıyor.
Güvenlik ve kurumsal firewall yazılımları başta olmak üzere ağ topolojisi ve ağ yönetimi(Management) üzerine bilinmesi gereken tüm incelikler bu yazı dizisinde ayrıntılı olarak ele alınacak olup, karşılaşılması muhtemel sorunlara çözüm önerileri getirilecektir.

Kısaca incelemek gerekirse yazı dizisinde aşağıdaki konulara değinilecek:
• Ağ Topolojisi
• Profesyonel Ağ Yönetimi
• Sistem açıklarının kapatılması
• Profesyonel Firewall kurulumları• Firewall testleri
• Uzaktan Yönetim / Remote Monitoring
• Internet - Intranet ve Extranet güvenliği
• LAN / WAN
• DNS / FTP / MAIL Server problemleri
Bunlara ek olarak 3. parti bir çok yazılımın incelenmesi ve konfigüre edilmesi bu yazı dizisinde ele alınacak konuların ana başlıklarını oluşturmaktadır. 5 bölüm halinde sizlere sunacağımız bu yazı dizisinde, en önemli güvenlik açıklarının neler olduğu, hacker'ların nasıl bloke edileceği ve ağ denetiminin nasıl olması gerektiğine dair önemli bilgiler bulacaksınız. Bunlara ek olarak firewall yazılımları ve ağa yönelik bazı donanımsal ürünlerin testleri de yapılacaktır. Ciddi bir laboratuar ortamında test edilecek bu araçlar mümkün olduğu kadar çok platformda denenerek sizlere lanse edilecektir. Ayrıca ağınızda tam olarak ne olup bittiğine dair detaylı rapor alabileceğiniz yazılım incelemeleri de yine bu seride bulabileceklerinizden bazıları. Öncelikle konuya girmeden önce bu kadar geniş içerikli bir yazı dizisinin hazırlanmasındaki etkenleri kısaca aktarmak ve ağ güvenliğinin nasıl olması gerektiğine dair orta ve ileri düzey metodolojileri tanıtmak istiyoruz.
Ağ güvenliğinin önemi ve tehlikeler
BT ve Sistem yöneticileri (özellikle son 2 yıldır) oldukça büyük zararlara yol açan hacker ve virüs saldırılarına karşı çeşitli güvenlik önlemleri almaya başladılar. Atak davranıp ileriyi görebilenler sistem üzerindeki mevcut yapılandırmayı değiştirirken bir kısmı da ciddi anlamda firewall kurma yolunu seçtiler.
Sisteme dışarıdan sızma, tescilli bilginin çalınması, sabotaj, virüsler, denial of service (hizmet durdurma saldırısı), içeriden yetkisiz erişim, ActiveX kontrolleri, kötü niyetli java applet'ler, trojan, polymorphic, macro, boot virüsler ve daha bir çok saldırı yöntemi önlem alınmamış bir sistem üzerinde kesinlikle yıkıcı etki yapacak etkenlerdir. Özellikle dış dünyaya açık güvenliği olmayan bir ağa sahipseniz ve hala çökertilmediyse ya çok şanslısınız ya da sizden bilgi sızdırılıyor anlamına gelir. Bu yazılanlar özellikle orta ve büyük ölçekli firmalar için geçerlidir. Çünkü profesyonel hacker'lar genelde marka özelliği olan, piyasada belirli bir saygınlığa ulaşmış firmaları hedef seçerler, fakat bu hiç bir zaman küçük ölçekli firmalara saldırılmayacağı anlamına gelmez. Sonuç her ne olursa olsun şirket sırları ve veritabanınızın güvenliği açısından server'larınızın mutlaka koruma altına alınması gerektiğidir.
Yazının girişinde de belirtildiği gibi, sistem yöneticileri son 2 yıl içinde yapılan başarılı veya başarısız tüm saldırı atraksiyonlarına karşı, iki farklı yöntemden birini tercih etme durumunda kaldılar. İlk yöntem olan sistemi tekrardan yapılandırmak, sadece basit ve bilinen saldırıları bloke ederken, ikinci yöntem olan güvenlik araçları (Firewall) -doğru konfigüre edildiği takdirde- her tür saldırıya karşı etkin koruma sağlayabiliyor.
FireWall: Ağ kontrolü ve trafik kaydının tutulması
Ayrıntılı incelemeye geçmeden önce firewall'un ne olduğuna dair kısa bir tanımlama yapmak gerekir. Firewall (Ateş Duvarı), özel bir ağ'a (ve/veya ağ'dan) yetkisiz erişimleri engelleyen gerek donanımsal, gerek yazılımsal ya da her ikisinin kombinasyonu şeklinde uygulanabilen sisteme adapte edilmiş kurulumlardır. Genelde büyük şirketler ve ISP'lerde kullanılır. Fonksiyonu ağ kontrolünü sağlamak ve bütün elektronik trafiği loglamaktır. Sitem Yöneticisi(Administrator) tarfından belirlenen güvenlik politikası tabanında firewall'dan geçitler ya yasaklanır ya da serbest bırakılır. Firewall bütün iletişim girişimlerindeki kimlik bilgilerini denetler ve varolan geçerli politika ile karşılaştırır. İletiyi kabul etme ya da reddetme kararı sistem yöneticisi tarafından belirlenmiş kurallar doğrultusunda işleme alınır ve daha sonra incelenmek üzere loglanır. Bu tip yazılımlar daha çok büyük ağ'lar ve önemli bir veritabanını korumak için kullanılır. Ve en önemli nokta hiçbir firewall %100 güvenlik sağlamaz. Bu handikap ancak işletim sistemlerinde bulunan açıkların sona ermesi ve geliştirilecek yeni güvenlik yöntemleri ile ortadan kaldırılabilir!



Şimdi sırasıyla alınabilecek güvenlik yöntemlerini inceleyip, hangisinin orta ve uzun vadede işe yarar olduğu sorusuna bir açıklık getirelim. Ancak konuya girmeden önce bilinmesi gereken, söz konusu her iki yöntemin de kendi aralarında alt seçeneklere ayrıldığı ve koruma amaçlı yapılacak her hareketin sistemin işleyiş performansını doğrudan etkilediğidir. Üzerinde anti-virüs özelliği bulunan veya ekstra bir anti-virüs programı ile entegre edilmiş tüm güvenlik yazılımları -doğal olarak- maksimum %10'a yakın performans düşüklüğü gösterebilir. Aslında bu kabul edilebilir bir ölçüdür. Fakat son versiyonlarını incelediğimiz bir çok anti-virüs ve firewall yazılımının bunu mümkün olduğunca minimuma indirdiğini tespit ettik.
Ortalama işlem yapan bir sistem için %10'luk kayıp normal gözükebilir ancak farklı ünitelere bağlı terminal sayısı yüksek olan server'lara fazladan yük getireceği kesindir. Bu da web'i ağırlıklı olarak kullanan, yoğun e-ticaret yapan, farklı DNS'ler barındıran, kendi iç ağı dışında başka ağlara da bağımlı olan her kurum için hiçte hoş olmayan bir durumdur. Yazı dizimizin sonunda bu amaca yönelik hazırladığımız, önemli ağ işletim sistemleri ve kurumsal firewall programlarını kapsayan bir performans analiz tablosu bulacaksınız.



Sistemin tetkik edilerek tekrar yapılandırılması
Yetkilendirme diagramını kısıtlayarak tekrardan belirleyin, bu davetsiz misafirleri azaltacaktır.
Bu yöntem ilk bakışta küçük ölçekli firmaların benimseyebileceği bir seçenek gibi gözükse de aslında ciddi anlamda profesyonellik gerektiren bir olaydır. Bu işi yapacak sistem yöneticisinin sunucu ve ağ üzerindeki mevcut işletim sistemlerini çok iyi tanıması, ne gibi açıklar bulunduğunu iyi analiz etmesi gerekir. Ayrıca yetkilendirme diagramını kısıtlayarak tekrardan belirlemesi, güncellemeleri(up-date) ve yamaları(patch) kısa aralıklarla takip ederek varsa yenilik ve direktifleri (mutlaka vardır) sisteme derhal entegre etmesi gerekir.
Yetkilendirme diagramının incelenerek tekrardan belirlenmesi sisteme izinsiz girebilecek davetsiz misafirlerin sayısını azaltacaktır. Ayrıca sisteme giriş yapan kullanıcıların parolaları belirli periyotlarda akılda kalıcı olmayan yeni şifrelerle değiştirilmeli. Bunlara ilave olarak üçüncü parti yazılımlara güvenip, işletim sistemin elverdiği ölçüde, kendini kanıtlamış bir anti-virüs programı kurulmalıdır. Aynı zamanda port denetleyici (port audit) 'de kurubilirsiniz. Ancak bu server üzerinde duraksamalara sebebiyet verecektir. Anti-virüs programları, paylaşılan ağ dosyalarından gelen e-mail ek'lerine ve Internet'ten download edilen her tür dosyaya karşı etkili virüs taraması yapabilen bir yazılım olmalı. Daha da önemlisi tarama sırasında ciddi bir duraksamaya sebebiyet vermemeli.



İyi bir yazılım: SOPHOS ANTİ-VİRÜS
Sophos Anti-Virus Multi-platform seçeneklerinden dolayı kurumsal anti-virüs yazılımlarına iyi bir örnek. Sadece kurumsal ağlar için geliştirilmiş bir anti-virüs yazılımı olan Sophos, yukarıda saydığımız özellikleri üzerinde bulundurması açısından örnek bir program olarak gösterilebilir. Sophos virüs güncellemelerini her ay bir CD üzerinde müşterilerine yolluyor. Bunun yanında web sitesi üzerinden de güncellemeler elde edilebiliyor. Sürekli internet bağlantısına sahip olan firmalar "automated update" seçeneği ile yeni gelen virüslerin güncelleme dosyalarını alabiliyorlar. Bu programın bizi en etkileyen tarafı, Multi-Platform desteği ve istemci-sunucu mimarisi oldu. Çok geniş sunucu ve istemci desteğine sahip Sophos, sunucu tarafında Windows NT/2000, Novel Netware, OpenVMS, OS/2, Lotus Notes ve değişik Unix platformları üzerinde çalışıyor. İstemci tarafında ise tüm Windows familyası, Dos, Macintosh ve OS/2 üzerinde versiyonlar mevcut. Sophos'un kişisel kullanım için herhangi bir versiyonu bulunmuyor. Daha ayrıntılı bilgi ve deneme sürümü için Sophos - anti-virus and anti-spam software for businesses adresine bakabilirsiniz (Bu programın ayrıntılı incelemesi ilerleyen bölümlerde yayınlanacaktır). Bazı virüs programlarında, URL ve istenmeyen dosya uzantılarını bloke etme gibi ekstra araçlarda bulunmaktadır. Biz burada her ne kadar Sophos'u örnek olarak verdiysek te piyasada bulunan kaliteli bir çok anti-virüs yazılımı her türlü virüs ve trojanı başarıyla bulup yokedebiliyor. Önemli olan sizin zamanında tedbirinizi almış olmanızdır. International Computer Security Association'ın virüs saldırıları ile ilgili 300 BT profesyonelini kapsayan bir araştırmasına göre, katılımcıların %80'i "iş gücü kaybı, kilitlenme ve bozuk dosyaları" en önemli zararlar olarak belirlemiş.
Virüs çeşitleri ve çalışma prensipleri hakkında ayrıntılı bilgiyi Sophos'un sitesinden
edinebileceğiniz gibi bir başka dev yazılım grubu Symantec Corp. veya Computer Associates'ın Virus Information Center - CA adreslerini de ziyaret edebilirsiniz.

Ağları bekleyen tehlikeler: Hacker - Trojan ve Virüs kaosu
Bir ağ analizörü (ya da sniffer) kullanan hacker, iletilen verinin tipi konusunda ipuçları sağlayacaktır. Yapım amaçları ve çalışma şekilleri itibariyle trojanlar virüslerden daha tehlikelidir. Ayrıntıya girmeden kısaca tanımlamak gerekirse, trojanlar Truva atı olarakta tanınırlar. ".exe, .vbs" gibi çalıştırılabilir dosyalar yoluyla bulaşan ve bulaştıkları sistemi tüm dünyaya açan casus programlardır. Bu tip programlar sayesinde, yeterli tecrübesi olan herhangi biri bile sisteminize sızıp dosyalarınızı kurcalayabilir, yaptıklarınızı haberiniz olmadan gözleyebilir, ve o andaki ruh durumuna göre canı isterse sisteminize 'format' dahi atabilir. Yukarıda da belirtildiği gibi piyasadaki kaliteli anti-virüs yazılımlarının hepsi tehlikeli trojanları tanıyabiliyor. Ancak anti-virüs yazılımlarının mutlaka güncellenmesi ve varsa (automated-update) seçeneğinin daima açık tutulması gerekir.Tüm bunlara rağmen bir trojanın sisteminize bulaşması bir dosyanın önizleme yapılmasıyla dahi olabilir. Bu yüzden ağ'daki tüm kullanıcıların sözkonusu programlarındaki otomatik önizleme seçeneklerini mutlaka "Disable" konuma getirin. Kolaylık gibi görünen bu özellik, 'gif' sanılan bir dosyayı görüntülemek için çalışır ve bu eğer bir trojansa ve çalıştırıldıysa artık çok geçtir. Sonuç olarak trojanlar executable(çalıştırılabilir) programlardır ve sadece chat odalarında insanların dosya göndermeleri ile bulaşmaz, alınan bir e-mail'deki programı çalıştırarak da trojanlanabilirsiniz! Sinsi Tehlike: AĞI KOKLAMA (sniffer)
Gereksiz protokolleri kapatın. IP ve MAC bazında protokol ataması yapın. Ne kadar güvenlik tedbiriniz olursa olsun kullanıcıların sitelerden veya FTP'den dowload seçeneklerini kısıtlayın ya da bu protokolleri kapatın. Çok gerekliyse IP ve MAC bazında protokol ataması yapın. External ve Internal servisleri gözden geçirerek sadece gerekli olanları açın. Çünkü hacker'lar genelde açık protokoller ve portlar sayesinde amaçlarına ulaşmaya çalışırlar. Hacker, açık protokoller ve protları bir ağ analizörü ya da sniffer kullanarak kolayca tespit edebilir ve bir kalıp ortaya çıktığında bunun kıstaslarına uygun verileri de ele geçirmiş olur. Bir kullanıcı ağa her bağlandığında aynı veriyi iletiliyorsa bunun kullanıcı adı ve parola olma olasılığı yüksektir ve hacker tarafından deşifre edilmeside an meselesidir. Ancak ağ trafiğini izlemek, ağa fiziksel bir bağlantı gerektirir. Yine de eğer hacker yasadışı etkinliklerini yürütmek için kurallara uygun olarak bağlanmış bir cihaz kullanıyorsa, bulunma olasılığı oldukça düşüktür. Bu aşamada sistem yöneticilerine düşen görev yasadışı sniffer'lara karşı düzenli, ilan edilmemiş denetimler gerçekleştirilmesini sağlamaktır. Özellikle unutulmaması gereken bir gerçek var! İçeriden oluşabilecek saldırılarında en az dış saldırılar kadar sık ve ciddi olabileceği... USA FBI/CBI'ın Bilgisayar suçları ve güvenlik üzerine yapmış olduğu bir ankete göre ağ üzerindeki saldırıların %55'i nin içeriden kaynaklandığı tespit edilmiş.

Trojan mantığını kullanan sadece hacker'lar mı?
Trojan mantığını kullanan sadece hacker'lar değil! Bir çok program bu tip casus script'lerini kendilerine adepte etmiş durumdalar. Birçok shareware ve freeware program casus script'ler içermekte! Örneğin hızlı ve düzgün dosya indirmesiyle tanınan ünlü download aracı Getright bu yazılımlardan sadece biri. Getright, herhangi bir dosyayı download ettiğiniz sırada dosyanın türü ve içeriği konusunda IP numaranızı da kaydederek kendi server'ına bilgi yollayan bir program. CuteFTP ve RealPlayer'da sabıkalılar arasında. Ancak RealPlayer almış olduğu tepkilere karşılık olsa gerek son sürümüne bu işlemin iptal edilebildiği bir seçenek koymuş. Aslında bu tip teknolojilere Aureate/Radiate denmekte. Piyasada şu anda bulunan 700'ün üzerinde shareware ve freeware program bu Aureate/Radiate denen bu teknolojiyi hiç haber vermeden kullanmaktalar. Browser'lar cephesinde de durum pek farklı değil. Örneğin Netscape'in 4.7 sürümünden itibaren eklenen Smart Download seçeneğini kullandığınızda, Smart Download size hiç bir haber vermeden hangi sunucudan (server) hangi dosyayı çektiğinizi, IP numaranızı ve e-mail adresinizi Netscape'e haber veriyor.
Hatta bir süre sonra arama modülünün de aynı davranışı sergilediği farkedilince, Christopher Specht isimli bir ABD vatandaşı Netscape'in sahibi AOL firmasını, "kişilerin özel hayatının gizliliğine karışmak" iddiası ile mahkemeye vermişti. Netscape/AOL ikilisinin iddialara cevabı, yarım kalan download'ları daha sonra devam ettirebilmenizi sağlayan Smart Download fonksiyonunun çalışabilmek için bu dasyalara ihtiyaç duyduğu yolunda olmuştu. Ancak bu açıklama, arama fonksiyonunda aynı davranışı sergilemesine yetmedi. Internet Explorer için de aynı durum sözkonusu. Yalnızca metod ve amaç değişik. Internet Explorer'a 5.0 sürümünden itibaren eklenen bu metot, sol tarafta bulunan arama panelinin kullanılması durumunda ortaya çıkıyor. Bu paneli kullanarak herhangi bir arama motorundan sorgulama yaptığınızda vermiş olduğunuz direktifler önce Microsoft'a gidiyor. Microsoft istekleri paketliyor ve verileri tarama yapmak istediğiniz arama motorundan alıyor.
Bu işlemin nasıl gerçekleştiğini görmek isterseniz:
Registry'deki HKEY_LOCOL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search kayıt yolunu inceleyebilirsiniz. Açık tehlike kaynakları: Portlar
Güvenliğin ihlal edildiği ortamlarda başrolü 'Portlar' oynar! Karşılıklı veri iletişimine dayalı her tür programın ve dolayısıyla trojanların çalışma sistemi portlara dayanır ve açık portlar sayesinde işlevlerini yerine getirirler. Peki nedir bu çok konuşulan portlar? PC'lerde Internet bağlantılarında kullanılmak üzere ayrılmış 65535 adet sanal port bulunur. 0-1024 arasındaki portlar "Well known port numbers" olarak bilinir ve her birinin standart görevleri vardır. Örneğin; 80 numaralı port Web sayfalarını gezerken, 25 numaralı port e-mail gönderirken, 110 numaralı port ise e-mail alırken kullanılır. "Bu standart portlar hakkında başvurabileceğiniz en güvenilir kaynaklar RFC belgeleridir" 1024'ten büyük port numaraları ise programların ve sistemlerin diledikleri gibi kullanmaları için serbest bırakılmıştır. Dolayısıyla herhangi bir standartları yoktur. Sonuç olarak güvenliği ihlal edici ortamlarda 'Portlar' başrolü oynamaktadır ve çok iyi incelenmeleri gerekmektedir. İlerleyen bölümlerde portlar hakkında daha ayrıntılı bilgiler bulacaksınız…

Bu ay vermiş olduğumuz bilgiler, firewall ve denetim yazılımlarının bir ağ ortamında ne kadar gerekli olduğunu anlama açısından oldukça gereklidir. Çünkü "şirket sırları ve tescilli bilginin çalınması" söz konusudur. Bilgisayar Güvenliği Enstitüsü (Computer Security Institute-CSI) her yıl düzenli olarak bilgisayar suçları ve güvenlik araştırma raporu yayınlar. Önceki yılları da baz alarak yapmış olduğumuz incelemelerde, araştırmaya katılan şirketlerin neredeyse %99'u nun en az bir defa güvenlik saldırısına maruz kaldığını gördük. Özellikle kurum bilgilerinin çalınması en üst sırada. Oldukça düşündürücü değil mi? Önümüzdeki ay en önemli 10 güvenlik açığı ve bir kurumsal firewall incelememiz olacak.