SİBER
GÜVENLİK (CYBER SECURITY)
Başarılı bir siber güvenlik yaklaşımı, bilgisayarlara,
ağlara, programlara veya güvende yakalamayı düşündüğü bilgilere dağılmış çok
rakamda koruma tabakasına sahiptir. Bir organizasyonda, siber ataklara karşı
tesirli bir korunma oluşturmak için insanlar, süreçler ve teknolojinin tümü
birbirini bitirmelidir. Bir birleşik tehdit yönetimi sistemi belli Cisco
Güvenlik mahsullerinde Entegrasyonları otomatik ve anahtar güvenlik harekâtları
işlevlerini süratlendirebilir: idrak etme, soruşturma ve iyileştirme.
Siber
güvenlik
Sistemleri, ağları ve programları dijital ataklardan koruma
uygulamasıdır. Bunlar siber hücumlar genellikle alıngan bilgilere ulaşmayı,
bunları değiştirmeyi veya yok etmeyi emeller; kullanıcılardan güçle para almak
veya basmakalıp iş süreçlerini kesintiye uğratmak. Tesirli siber güvenlik
tedbirlerinin uygulanması günümüzde özellikle güçtür zira insanlardan daha
fazla aygıt vardır ve saldırganlar daha yenilikçi hale gelmektedir.
İnsanlar
Kullanıcılar, güçlü şifreler seçme, e-postadaki
ilavelere karşı dikkatli olma ve bilgileri yedekleme gibi temel bilgi güvenliği
prensiplerini kavramalı ve bunlara uymalıdır. Temel siber güvenlik prensipleri
hakkında daha fazla bilgi edinin.
Kuruluşlar
Kuruluşlar, hem girişim edilen hem de
galibiyetli siber ataklarla nasıl başa çıkacaklarına dair bir çerçeveye sahip
olmalıdır. Bir saygın çerçeve size kılavuzluk eder. Hücumları nasıl
tanımlayabileceğinizi, sistemleri nasıl gözetebileceğinizi, tehditleri nasıl
idrak edebileceğinizi ve bunlara nasıl cevap verebileceğinizi ve galibiyetli
ataklardan nasıl kurtulabileceğinizi sarihler.
Teknoloji
Teknoloji kuruluşlara ve fertlere kendilerini siber
ataklardan gözetmek için lüzum dinledikleri bilgisayar güvenlik vasıtalarını
sağlamak için çok ehemmiyetlidir. Üç ana varlık korunmalıdır: bilgisayarlar,
uslu makineler ve yönlendiriciler gibi uç nokta makineleri; ağlar ve bulut. Bu
varlıkları gözetmek için kullanılan yaygın teknoloji, yeni nesil güvenlik
duvarlarını, DNS filtrelemeyi, makûs emelli yazılımlara karşı gözetmeyi, anti
virüs yazılımlarını ve e-posta güvenlik çözümlerini kapsar.
(Aucy Web Sitesi, https://bit.ly/2RzQRCD, 2021).
Siber
Güvenlik Neden Önemlidir?
Günümüzün irtibatlı dünyasında, herkes gelişmiş siber
korunma programlarından faydalanmaktadır. Fertsel seviyede, bir siber güvenlik
atağı, kimlik hırsızlığından gasp teşebbüslerine, aile resimleri gibi
ehemmiyetli bilgilerin kaybolmasına kadar her şeyle sonuçlanabilir. Herkes
elektrik santralleri, sağlık kurumular ve finansal hizmet firmaları gibi kritik
altyapılara güveniyor. Bu ve değişik kuruluşların güvenliğini sağlamak,
cemiyetimizin işleyişini sürdürmek için çok ehemmiyetlidir.
Herkes ayrıca yeni ve ortaya çıkan tehditleri ve siber
atak taktiklerini inceleyen Talos'taki 250 tehdit tahlilcisi gibi siber tehdit
tahlilcilerinin çalışmalarından da faydalanıyor. Yeni güvenlik sarihlerini
ortaya çıkarırlar, milleti siber güvenliğin ehemmiyeti mevzusunda eğitir ve sarih
kaynak araçlarını kuvvetlendirirler. Çalışmaları İnternet'i herkes için daha
tehlikesiz hale getiriyor.
Siber
Güvenlik Tehdidi Türleri
Siber
güvenlik tehdidi türleri aşağıdaki gibidir.
E-Dolandırıcılık
Kimlik avı, saygın kaynaklardan gelen
e-postalara benzeyen sahte e-postalar yollama uygulamasıdır. Emel, kredi kartı
numaraları ve giriş bilgileri gibi duyarlı bilgileri çalmaktır. En yaygın siber
atak cinsidir. Kendinizi eğitim yoluyla veya makûs emelli e-postaları
filtreleyen bir teknoloji çözümüyle gözetmeye dayanakçı olabilirsiniz.
Fidye
Yazılımı
Fidye yazılımı, bir cins makûs
emelli yazılımdır. Fidye ödenene kadar dosyalara veya bilgisayar sistemine
ulaşımı yasaklayarak para gasp etmek için planlanmıştır. Fidyeyi ödemek,
dosyaların kurtarılacağını veya sistemin geri yükleneceğini garanti etmez.
Kötü
Amaçlı Yazılım
Kötü amaçlı yazılım, Yetkisiz ulaşım
elde etmek veya bir bilgisayara hasar vermek için planlanmış bir yazılım
cinsidir.
Günümüzde
En Yaygın 10 Saldırı Çeşidi
1.1. Malware
Malware
kötü niyetli yazılımların kısaltmasıdır. Solucanlar, virüsler, Truva atları
bunlara misal olarak verilebilir. Bireylerin izni olmadan bilgisayar
sistemlerine sızdırılan makûs emelli yazılımlardır. Bilgisayarları veya ağları
çalışamaz hale getirebilir, saklanabilir, artabilir veya saldırganlara ulaşım
izni verip sistemi uzaktan kontrol edebilme kısmeti verebilirler.
Phishing
Kimlik
avı hamleleri olarak adlandırılan bu usulde ise saldırganlar bireylere emin
kaynaklardan gelmiş gibi gösterilen e-postalar göndererek bireylerin site
bilgilerini, kredi kartı bilgilerini çalmaya çalışırlar. Genellikle e-posta
yoluyla yolladıkları linklere tıklayan mağdurlar, Kopyalanmış sitelere
yönlendirilir ve girdikleri bilgileri saldırganlarla paylaşmış olurlar.
DoS
ve DDoS
İngilizce
açılımı Denial of Services ve Distributed Denial of Services olan bu usuller
ise bazı çevrimiçi hizmetlerin düzgün çalışmasını yasaklamaya çalışmak için
yapılan ataklardır. Saldırganlar bir web sitesine veya bir bilgi tabanına çok
fazla rakamda istek gönderip sistemi meşgul ederler ve bu da sistemlerin
çalışmasını durdurmasına yol açabilir. DDoS ise bu hücumların birden fazla
bilgisayardan yapılması ile olur.
Man
in The Middle
Bu
siber saldırı çeşidinde ise saldırganlar kurbanlar ile ulaşmak istedikleri web
servisi arasında kendilerini saklayarak, kurbanları kendi ağları üzerinden
ulaşmak istedikleri servise yönlendirirler. Misalin bir Wi-Fi ağını taklit
ederler ve kurbanlar ulaşmak istedikleri Wi-Fi ağı yerine saldırganların Wi-Fi
ağına girmiş olurlar. Bundan sonraki yaptıkları her harekâtı saldırganlar
görebilir ve kullanıcıların bilgilerini toplayabilirler.
SQL
Injection
Günümüzde
bir hayli bilgi tabanı SQL ile yazılmış komutlara uymak için planlanmıştır ve
kullanıcılardan bilgi alan bir hayli web sitesi bu bilgileri SQL bilgi
tabanlarını yollar. Saldırganlar SQL güvenlik sarihlerinden yararlanarak
kurbanların bilgi tabanlarını kontrol altına alırlar. Misalin bir SQL
enjeksiyon hamlesinde bir bilgisayar korsanı, bazı SQL komutlarını ad ve adres
bilgisi isteyen bir web formuna yazar; web sitesi ve bilgi tabanı doğru
programlanmadıysa, bilgi tabanı bu komutları çalıştırmayı sınayabilir.
Cryptojacking
Cryptojacking,
başkasının bilgisayarının sizin için cryptocurrency üretme işini yapmasını
kapsayan özel bir hamledir. Saldırganlar zorunlu hesaplamaları yapmak için
kurbanın bilgisayarına makûs emelli yazılım yüklerler veya bazen makûs emelle
kullandıkları kodları kurbanın tarayıcısında çalışan JavaScript'te
çalıştırırlar.
Zero
Day Exploit
İsmini
bir yama yayınlandıktan sonra, kullanıcıların güvenlik aktüellemelerini
indirirken az rakamda bilgisayara erişmelerinden alır. Yazılımdaki sarihler
henüz daha düzenlenmemiştir ve bu da saldırganlara fırsat sağlar. Bu cins
güvenlik sarihlerinden faydalanma teknikleri günümüzde Darkweb üzerinden
yayınlanmakta veya satılmaktadır.
Passwords
Attack
Şifreleme
bir sisteme girerken kullandığımız en yaygın mekanizma olduğundan, şifre
hamleleri en yaygın hamleler arasındadır. Brute Force olarak adlandırılan bir
çeşidinde parola hipotezi için devamlı olarak gelişigüzel parola sınayan bir
makûs emelli teknik kullanılır. Bunu yasaklamanın en kolay yolu çok kere
sınanan şifre teşebbüsünün ardından kendini kilitleyen bir hesap kilitleme
siyaseti uygulamaktır.
Eavesdropping
Attack
Bu hamle tipinde
saldırganlar bir ağa sızarlar ve saklıca dinleme yaparak kullanıcıların o ağ
üzerinden yollayacağı kredi kartı bilgileri, parolalar ve konuşmalar gibi şahsi
bilgileri dinlerler. Pasif olan usulünde genellikle yalnızca dinleme yaparak
bilgiler bir araya gelir fakat faal usulünde ise saldırganlar kullanıcılara
ağdaki arkadaş bir birim gibi gözükerek sualler sorarak bilgi toplarlar.
Birthday
Attack
Doğum günü hamleleri, bir iletinin, yazılımın veya dijital imzanın
tamlığını doğrulamak için kullanılan karma algoritmalara karşı yapılır. Bir
karma işlevi tarafından işlenen bir ileti, giriş iletisinin uzunluğundan
bağımsız olarak sabit uzunlukta bir ileti özeti MD üretir. Bu MD, iletiyi eşsiz
bir biçimde karakterize eder. Doğum günü hücumu, bir karma işlevi tarafından
işlendiğinde aynı MD'yi üreten iki gelişigüzel ileti bulma ihtimalini ifade
eder. Bir saldırgan, kullanıcısı olduğu gibi iletiyi için aynı MD'yi
hesaplarsa, kullanıcının iletisini güvenle onunla değiştirebilir ve akdikeni
MD'leri karşılaştırsa dahi değiştirmeyi tespit edemez.
(Karel Web Sitesi, https://bit.ly/3eph3Jb,
2021).
Siber
Güvenlik Kavramları
Firewall(Güvenlik
Duvarı)
Internet
yavaş yavaş yaygınlaşmaya ve bu ağa dâhil olan aygıt sayısı çoğalmaya
başlayınca, insanların kendi evinin çevresini bir çit ile örterek davetsiz
misafirlerin içeriye girmelerini yasaklamaya çalışmaları gibi, he aygıtın
yetkisiz ulaşımlara karşı korunma gereksinimi ortaya çıktı.
Bu
lüzum doğrultusunda insanlar koli filtreleme yapan makineleri başka bir deyişle
bugün ismine Firewall güvenlik duvarı dediğimiz sistemleri oluşturdular. Bu
sistemle ağ üzerinde gelen ve giden tüm kolileri ayrı ayrı kontrol ediyor ve
kutunun geçip geçmeyeceğine sadece port numarasına bakarak karar veriyordu.
Bunu yapabilmesi için de kesinlikle ağda bulunan diğer sistemlerin önünde
bulunması gerekiyordu.
Zaman
ve teknoloji ilerledikçe firewall makineleri de büyüdü. Statefull diye
öğrenilen bir kavram ortaya çıktı. Statefull firewalllar, koli filtreleme yapan
firewalllar gibi giden ve gelen tüm kolileri ayrı ayrı incelememekte, aynı
session'a seansa dâhil olan tüm kolilerin şayet izin verilmiş durumdaysa
geçmesini sağlamaktadır. Bu da natürel ki performans açısından iyileştirme
sağladı. Fakat irtibatlar için yakalanan seans tabloları yeni bir saldırı
vektörü oluşturdu.
Güvenlik
duvarlarına sürekli olarak yeni özellikler ilave edilmeye devam etmektedir.
Günümüzde next generation firewall denilen güvenlik duvarları kullanılmaya
başlanmıştır. Bu makineler üzerinde port numarasının dışında uygulamalar dâhil
olmak üzere protokoller da taşınabilir ve bunlara göre de kurallar yazılabilir
vaziyete gelmiştir.
Firewall,
çeşidi ve sahip olduğu özellikleri ne olursa olsun, aslında bir kurallar
tamıdır. Çok basit olarak kurala uyan içeri girer ya da içerden çıkar. Kurala
uymayan ise firewall'u geçemez. Bu doğrultusuyla insan yaşantısına çok
uygundur. Herkes sizin otomobilinize binemez, sizin tarafınızdan uygulanan bir
elemeye tabidir. Siz her yola giremezsiniz. Sizin de uymanız gereken kurallar
vardır. Internet dünyası için de firewall bunu yapar.
Firewalllar
bu kuralları uygularken birtakım kriterlere göre hareket eder. Kaynak ve hedef
IP adresi, kaynak ve hedef port, protokol (TCP, UDP). Servis(HTTP, SSH, FTP
vb.), uygulama (web, mail vb.), action (izin ver/verme), log (kayıt tut/tutma)
gibi bazı kriterler kullanılarak güvenlik ve Güvenlik Bilgisi 47 duvarları
üzerinde kural yazılabilir, Görüldüğü gibi siz, next generation firewalllar ile
birlikte uygulama katmanına kadar internet trafiğin de (gelen ve giden için)
her türlü kontrolü yapabilirsiniz. Ancak kontrol yapar ama data kısmında değil
Yani siz bir SQL Injection atağı yapmak istediğinizde, kullanıcı veri giriş
gönderdiğiniz (tırnak) işaretinden firewall bihaberdir, 80 portunun ve http
protokolünün izinli olup olmadığı ile ilgilenir, İşte tam bu noktada devreye
IPS'ler veya IPS özelliği ile birlikte kullanılan firewall'lar devreye
girmektedir.
IPS'lere
geçmeden önce firewall'lar ile ilgili birkaç önemli noktayı vurgulama
istiyorum: her ne kadar teknolojilerinde de firewall'lar için hala session
tablosu, log tutma, eş zamanlı oturum sayısı, aynı anda açabileceği oturum
sayısı, kuralların sırası hem performans hem de işletim açısından oldukça
dikkat edilmesi gereken hususlardır. Yani bir firewall'un throughput değeri 50
Gbps, ancak eş zamanlı oturum sayısı 4 000.000 ise, daha trafik 5 Gbps'a
gelmeden küçük paketler ile firewall'un eş zamanlı oturum sayısına ulaşılarak,
cihaz işlemez hala getirilebilir, Bu da hiçbir trafiği geçirmemesi demektir.
Firewall
gelen paketi, kurallarına uymayıp düşürüyorsa (drop) bu paket ile ilgili
herhangi bir session tutmaz (firewall'lar bir sessicn oluşmuş ise belli bir
süre paket geçmese bile session'ı açık tutar). Bu ufak ayrıntıyı
gerçekleştireceğiniz yük testlerinde de bilmeniz gerekebilir.
(Onur AKTAŞ,
Siber Güvenlik, S.46-47, 2017)
Intrusion
Prevention System (IPS)
İnternetin
yaygınlaşması ile beraber yapılabilen hücumlar ve hamle yöntemleri de
arkasıydı. Firewall'lar bu saldırılara karşı yeterli seviyede güvenlik
sağlayamamaya başlayınca yalnızca saldırılara özel, hamle tavırlarından
kavrayan makineler ortaya çıktı. Bu makineler ilk IDS intrusion detection
system olarak, doğrudan internet trafiği üzerinde operasyon yapmayan, trafiğin
bir kopyası üzerinde tahlil yaparak mirror hamleleri idrak etmeye çalışan ve
ihtar üreten sistemler olarak kullanılmaya başlandı. Bu aygıt hamle olduğuna
dair bir ihtar/alarm ürettiğinde ise değişik bir aygıt ile zorunlu yasaklama
harekâtları yapılıyordu.
Teknolojinin
ilerlemesi ile birlikte IDS cihazları, IPS (Intrusion Prevention System) cihazlarına
dönüştü, Apseler hem IDS'lerin görevini yapmakta (monitör mod) hem de atak
algılaması durumunda ilgili trafiği kesebilmektedir. Böylece ataklar hem
zamanında kesilebilmekte hem de aynıca bir insan gücüne/takibine gerek
kalmamaktadır.
Peki, Opser bu
hücumlar nasıl yasaklıyor diye düşünüyor olabilirsiniz Birkaç yöntem
kullanılıyor;
IPS'in, tıpkı
şahsi anti virüs yazılımlarındaki gibi kendisine ait hamle vardır. IPS in
üzerinden geçen trafikte şayet bu pattern'e uyan bir trafik var ise hem
sunucuya hem kullanıcıya birer RESET kutuyu yollayarak trafiği keser. Bu
harekâtın bir hoş tarafı da Layer 2'de çalışmasına ve IP'si idare IP adresi
hariç olmamasına karşın bunu yapabilmesidir.
Ek olarak
·
Protokol anomalilerini
anlayabilmektedir.
·
Trafik anomalilerinden
atağı tespit edebilmektedir.
·
Son olarak da sezgisel
yöntem ile tespit yapabilmektedir.
IPS'ler
bu güzergâhları ile firewalllardan ufalamaktadır. IPS'te bir firewall gibi
kural yazılmıyor, hali hazırda bulunan kurallar ve özellikler faal ediliyor: izin
ver, maniyle, monitör et gibi. Banal firewall'lar port, protokol ve P'den
anlarken, IPS'ler sql injection, botnet, anlık iletileşme vb. gibi grafiklerden
kavramaktadır. Bu bakımdan IPS ve firewall birbirini bitiren ağ aygıtları
olarak ağlarda yerlerini alırlar.
Zaten
günümüzdeki firewall ve IPS özelliklerini tek bir cihazda toplayan ürünler
piyasada mevcuttur.
(Onur AKTAŞ,
Siber Güvenlik, S.47-48, 2017).
Antivirüs
- Antispam Gateway
Çok
kısa olarak bu aygıtlara da değinmek gerekirse, sadece spam ve virüslere karşı
kullanılan güvenlik aygıtlarıdır. Asıl olarak e posta sunucularının spamlardan
ve e-posta ile gelebilecek virüslerden korunabilmesi emeliyle bir Maden Tetkik
Ve Arama Genel Müdürlüğü Marmara Üniversitesi mail transfer agent gibi
çalışarak virüs ve spam taramasını yaparlar. Bu tarama harekâtını da kendi
üzerinde bulunan virüs ve spam imza bilgi tabanı ile beraber özellikle spamlar
için sizin yazdığınız spam kaidelerine göre yapar.
Ayrıca
ağda konumlandırılarak, sadece e-postaların değil, bell protokollerin (HTTP,
FTP) taranmasını da sağlayabilirler. Yeni kullanıcılar için web ve FTP ile
gelebilecek hasarlı yazılımlar için bir güvenlik tabakayı da sağlarlar.
(Onur AKTAŞ,
Siber Güvenlik, S.49, 2017).
Web
Filtreleme
Belki de bir
bilgisayar korsanı için en pasif sayılabilecek, yoluna pek çıkmayacak güvenlik
makinelerinden biri olarak kabul edilebilir. Bu makineler ile emel daha çok
kullanıcıların internette ulaşmaya çalıştıkları web sayfalarından hangilerine
ulaşım sağlansın hangilerine ulaşım sağlanmasın biçimindedir. Başka Bir Deyişle
bir kullanıcı haber sitelerine erişsin de reyin sitelerine erişmesin vaziyetini
sağlayan makinelerdir. Güvenlikle ilişkisi de daha çok hasarlı URL'lere ulaşımı
da engelleyebilmesidir.
Bu makineler
genellikle transparent proxy modda çalışırlar başka bir deyişle kullanıcı,
kendi tarayıcısında bir proxy ayarı yapmaz. Aslında bu aygıt web trafiği için (MitM)
man in the middle işlemine gerçekleştirir.
Web filtreleme
aygıtlarında milyonlarca web sayfası ve URL'ir yakalandığı bir veri tabanı
bulunmaktadır. Bu veri tabanında web sayfa adresleri ve URL'ler değişik
kategorilere, misalin: spor, reyin, kumar, sosyal ağlar vb. parçalamış halde
yakalanmaktadır. Sistem yöneticisi güvenlik siyasetlerine göre bu kategorilerin
kimilerine izin verirken kimilerini de maniler. Bununla beraber siyah ve beyaz
oluşturma imkânı da bulunmaktadır. Ayrıca saat, gün bazında da bu yasaklama
veya verme sağlanabilmektedir.
(Onur AKTAŞ, Siber Güvenlik, S.49, 2017).
Web
Application Firewall (WAF)
(AVI,
Web sitesi, https://bit.ly/3b7mquI,
2021).
Web
sayfaları ve uygulamaları için özel tasarlanmış, oldukça gelişmiş harekâtlar
yapabilen makinelerdir. Bir web sayfasından dönen yanıtlayarak veya web
sayfasına giden isteklerdeki kolilerin, her türlü parametre ile oynayabilme
bilgi ilave eden, bilgi çıkaran, değiştiren gibi bir mahareti vardır. Bu da şu
demektir: kızdığı bir vaziyet varsa onu silebilir, değiştirebilir.
Web
application firewall aygıtları uygulaması ve işletmesi en güç sistemlerden
biridir. Zira bu sistemi idareden şahısların gözettikleri web sayfası ve
uygulamasının nasıl çalıştığını, hangi servisleri kullandığın çok iyi bilmesi
gerekmektedir. Ayrıca sayfada ya da uygulamada yapılacak aktüellerelere göre
hemen WAF'ta zorunlu tertip etmeyi yapması elzemdir. Aksi takdirde sıradan
kullanıcı isteklerini de yasaklama olasılığı çok yüksektir. Bu sebeple WAF
sistemleri yasaklama modunda doğrudan kullanılmaz, monitör modda başka bir
deyişle bilme modunda bir süre çalıştırılarak bilgi toplaması sağlanır,
sonrasında zorunlu kaideler tertip edilerek yasaklama yapmaya başlar.
Bilme
modundan sonra, yazılımın kendisinde bir zafiyet varsa dahi düzgün
konfigürasyonu yapılmış bir WAF sistemi ile saldırganların bu zafiyeti
kullanması çok kolay bir şekilde engellenebilir. Bir kere konfigürasyonu
yapıldıktan sonra bu sistemi atlatmak oldukça güçtür. Bu sistemlerde OWASP'In
en aktüel 10 saldırısı gibi bir hayli saldırı için varsayılan olarak yasaklama
gelmektedir. Başka Bir Deyişle siz bir ' tırnak işareti attığınızda WAF bunu
fark edecektir.
Bununla
beraber database firewall, DNS firewall'lar da bulunmaktadır. WAF ile eş
manalarda çalıştığından dolayı sadece kavram olarak bilinmesi bu evrede yeterli
olacaktır.
(Onur AKTAŞ, Siber Güvenlik, S.50, 2017).
Data
Leak/Leakage Prevention (DLP)
Bu
sistemler daha çok içeriden dışarıya kendi ağınızdan dışarıdaki bir ağa bilgi
sızıntısının tespit edilmesi ve engellenmesi için kullanılır, Host ve network
DLP olarak iki çeşidi bulunur. Saldırganlar sızdıkları bir ağdan dışarıya bir
bilgi çıkarmak istediğinde kredi kartı bilgisi vb. karşılaşabileceği ve aşmak zorunda
kalabileceği şifreleme ve eş usuller ile sistemlerdir.
Host
DLP aynı son kullanıcı anti virüs yazılımları gibi kullanıcı makinelerine
kurulurken network DLP ağda inline veya offline olarak konumlandırılarak IPS
sistemlerine eş biçimde trafikte Layer 7 ye kadar tahlil yapar, Burada
ehemmiyetli olan DLP'lerde kaidelerin düzgün belirlenmesidir. Bu kaidelerin
düzgün biçimde belirlenebilmesi için de bilgi sınıflandırmasının yapılması
gerekmektedir. Yeni bir müessese/işletme için nelerin 'saklı', nelerin 'hizmete
özel' gibi bir tasnif yapılarak kritiklik derecelerinin tanımlanması
gerekmektedir. Daha sonra bunlara ve değişik vaziyetlere göre, misalin kredi
kartı bilgisi, ücret bilgileri, vb. bu aygıtların yapılandırmalarının yapılması
gerekmektedir.
Çok kısa olarak
anlattığımız bu aygıtlar, anlaşıldığı üzere daha çok dışarıdan içeri
hamlelerden ziyade içeriden dışarıya olabilecek firarileri/sızıntıları
yasaklamaya müteveccih kullanılır.
(Onur AKTAŞ,
Siber Güvenlik, S.50-51, 2017).
Unified
Threat Managament (UTM)
Buraya
kadar anlatılan aygıtların her bir özelliğinin tek bir aygıtta bir araya gelmiş
halidir diyebiliriz. Ağda konumlandırma ve idare basitliği açısından özellikle
ufak ve orta ölçekli müessese ve işletmeler tarafından seçim edilen sistemlerdir.
Natürel tüm bu özellikleri üzerinde barındırma avantajının yanında bazı
dezavantajları da birlikte taşır. Bu dezavantajların en aşikârı performanstır.
Tüm bu özellikleri aynı anda kullanmaya çalıştığınızda aygıtta bariz bir
performans düşüklüğü fark edilecektir.
(Onur AKTAŞ,
Siber Güvenlik, S.51, 2017)
Distributed
Denial of Service (DDoS) Mitigation
(Quantil Web
Sitesi, https://bit.ly/2So0FQE,
2021).
En
gürültülü atak şeklidir diyebiliriz. Gürültülüdür zira fark etmek ve neticesini
görmek için ekstra bir operasyon yapılmasına gerek bulunmaz. Kolay bir anlatım
ile giriş kapısına aynı anda suratlarca bireyin yönelmesi ve kapıdan artık
kimsenin geçemez gidişata gelmesidir. Veya bir başka çeşidi olarak; bir şahsa
aynı anda onlarca bireyin sual sorması olarak düşünülebilir. Sırayla bunların
teknik karşılıkları volumetrik hücumlar ve ayna tüketimi hücumlarıdır. Her
ikisi de DDoS hücum çeşididir.
DDoS
ataklarının en belirgin özelliklerinden biri de geniş katılımlı bir olmasıdır.
Çok yüksek bir trafik oluşturmak (100 Gbps, 1Tbps çok fazla sayıda internete
bağlı cihaz gereklidir. Veya çok ve büyük bant genişliklerindeki sunucular kullanılabilir.
Ger seri, kasIt da BOTNET’ler ve loT (internet of Things) ağlarıdır.
DDoS
yapmak için bu ağlardan satın almak kolay ve ucuzdur DDoS, yapılabilmektedir.
Bu paketlere örnek olursak:
- TCP SYN
- АСК
- UDP
- ICMP
- HTTP GET, PUT
Bu
paketler ile flood, reflection ve amplification modellerinde hamleler
yapılabilmektedir. TCP el sıkışmasının bitirilmediği UDP, ICMP SYN, DNS ve ACK
gibi flood yapılabilecek kolilerde IP spoofing de kullanılabilmektedir.
Özellikle DNS tarafında Open DNS'ler (recursive sorgulara cevap verenler)
amplification atakları oldukça sık yapılmaktadır.
Bu
atakları engellemek için kullanılan DDoS Mitigation sistemleri bulunmaktadır.
Bu aygıtların en ehemmiyetli özelliği hamle trafiği ile bayağı kullanıcı
trafiğini ayırt edebilmesidir. Şöyle düşününün: bir botnete bulaşmış makineden
siberkuvvet.com adresine bir hücum yapılıyor ve aynı makineden kullanıcı da
siberkuvvet.com sitesine girmeye çalışıyor. Bu vaziyette DDoS mitigation
aygıtları bu iki isteği birbirinden ayırt edebilmektedir.
DDoS
Mitigation aygıtına her hamle tipine göre değişik yasaklama usulleri kullanır.
Bu usullerden birkaçını sayacak olursak redirection özellikle HTTP GET gibi
hamlelerde, ilk kutunun düşürülmesi her hamle tip için, SYN Proxy, bant
genişliği sınırlaması ICMP ve UDP için özellikle, uygulamalara özel kaideler,
eşik kıymetleri ayarlamaları olarak sayabiliriz. Özellikle son zamanlarda
uygulama bazlı DDoS hücumları ön tasarıya çıkmıştır. Sistem üreticileri de bu
hamlelere karşı lüzumlu ihtiyatları almak için devamlı aktüellemelere devam
etmektedir. Bu usuller her DDoS Mitigation üreticisi için değişik gidişattadır.
Üreticiler de bu farkları ile piyasada ön tasarıya çıkmaktadır.
DDoS
Mitigation makinelerinde iki değişik mod bulunur. Birisi saldırıyı tespit
etmek, değişiği de saldırıyı kesmek. Bu iki özellik genellikle sistemin
içindeki değişik makineler tarafından yapılır. Saldırıyı tespit etmek için
koruma yapılan IP adresine doğru olan trafiklerden hamle olmayan gidişatlar da
her bir protokol için bir threshold kıymeti tespit edilmektedir. Bu kıymetleri
netflow stili bilgilerden collector denilen aygıtların desteği ile elde eder .(netflow
dataları da router cihazlarından alınmaktadır).
Threshold
değerleri de "Low, Medium ve High" olarak kategorilendirilerek emin
bir vakit "High" değerinde devam eden alarm için
"Mitigation" harekâtı otomatik olarak başlatılır. Ve artık aygıt
yasaklama moduna geçer. Bu modda ise evvelki paragraflarda anlatılan yasaklama
yöntemlerile hücum trafiğinin kesilmesi sağlanır. Bununla beraber bu makineler
manuel olarak yapılandırma yapılmasına izin vermektedir Siz istediğiniz zaman
bu yasaklama kaideleri ile oynayabilirsiniz.
Buraya
kadar bir ağda bulunabilecek temel network güvenlik makinelerinden bahsetmiş
olduk. Emelim size detaylı bilgi vermekten ziyade sizi yormadan kavramsal
olarak tanıtım yapmak, kısaca network güvenlik dünyasında neler olduğundan
haberdar etmekti. Detaylar için bir başka kitap ya da üstat Google'dan
yararlanabilirsiniz. Geriye kitabın ilerleyen kısımlarında ve güvenlik yaşamınız
süresince bereketli olacağını düşündüğümüz birkaç terimi de açıklayıp kısmı
tamamlayacağım.
Alttaki
komutlar ve kavramlar sizin ağda bir hayli operasyon için kullanabileceğiniz,
hem hücum hem korunma hem de mesele tespit etmek için işinize yarayacak
komutlardır. Ping: Bir IP adresine doğrudan ulaşım olup olmadığını kontrol eder
Ağda öncelikli kolilerden değildir, yoğunluk olduğunda ilk düşürülecek
koliyidir. ICMP kullanır, Çoğu zaman Firewall sunucularda yasaklanır.
(Onur AKTAŞ,
Siber Güvenlik, S.51-52-53, 2017).
1.1. Ağ
Komutları ve İşlevleri
ping: Bir adresine doğrudan
ulaşım olup olmadığını kontrol ederi. Ağda öncelikli kolilerden değildir,
yoğunluk olduğunda ilk düşürülecek kutulardır. ICMP protokolünü kullanır. Çoğu
zaman Firewall ve sunucularda yasaklanır.
ipconfig/ifconfig: Bir aygıtta
bulunan tüm ethernet kartları için yapılandırmasını gösterir. Muhtelif
parametreleri vardır, İşletim sistemine göre parametreler ve komutlar
değişkenlik gösterebilir.
traceroute/tracert: Bir IP
adresine erişirken geçtiğiniz yolları gösteren komuttur. Yeniden networkte
öncelikli değildir. Hedefe erişirken TTL değer her hop noktasında bir
çoğaltılarak hedefe erişinceye kadar gider Bu kutularda firewall veya
sunucularda genelde yasaklanır.
arp: Bir istemci
üzerindeki arp kayıtlarını gösterir. AR’ydı olan kar iP'lere Layer 2
seviyesinde ulaşım olduğunu gösterir. Burada dikkat edilmesi gereken nokta; bu
kayıtlarda bağlantı kurulan IP adresleri olur ve devamlı aktüellenir, Başka
parametreleri de bulunur.
route/route print: İstemci
üzerinde bulunan manipülasyon tablosunu gösterir, Bu manipülasyon tablosu ile
bilgisayarınızdan çıkan kutuların hangi ethernet kartını ve yolu kullanacağını
gösterir. Genelde iki ethernet kartı sanal veya fiziksel varsa anlamı daha çok
çoğalır.
nslookup/dig: Bir web
adresinin DNS sorgularına verdiği yanıtları elde etmeye fayda. Kullandığınız
DNS sunucunun yanıt verip vermediğini de gösterir, Değişik parametreleri ile
name sunucu bilgileri ve başka bilgiler de alınabilir.
netstat: Bir cihaz üzerinde
bulunan tüm bağlantıları (kaynak IP ve port, hedef IP ve port) ve
parametrelerine göre TCP, UDP ayrı ayrı gösterebilir, Ayrıca iletişimlerin
vaziyetleri de (listen, establish) vb. uygulamaları ile beraber öğrenirsiniz.
DNS: (Domain Name Server)
Domain isimlerinin (www. abc. com) veya URL'lerin IP karşılıklarının
yakalandığı, e-posta sunucularının IP kayıtlarının yakalandığı internet
dünyasında çok ehemmiyetli bir rol alan sistemlerdir, Düşünün bu sistemler
olmasaydı her web sayfasının IP adresini kendimiz öğreniyor olmamız
gerekecekti. Disklerde bu IP adresleri kayıt ile yakalanır. Misalin A kaydı
domain adları için, MX e posta sunucuları için kullanılır, Bunlarla beraber
AAA, TXT, SOA, PİR, CNAME ve NS kayıtları da bulunur, Hepsinin değişik görevi vardır.
İnternet
dünyasında DNS'ler hiyerarşik yapıda kurgulanmıştır. Başka Bir Deyişle bir ağaç
yapısında en üstte root DNS'ler, daha sonra Top-level domainler ve değişikleri,
en sonda da authoritive DNS'ler kazanç. Hakikat yanıtı veren de alakalı domain
için authoritive DNS’dir. Bununla beraber cache DNS'ler de vardır ki daha
evvelden yapılan bir DNS sorgusunun neticesini belleğinde tutarak aynı sorgu
geldiğinde doğrudan cache’ ten yanıt verir. Burada cache süresi DNS idare için
ehemmiyetlidir. Bir de recursive DNS kavramı vardır ki; DNS'lerin kendine gelen
sorguya negatif yanıt vermektense alakalı sorguyu yapan ismine lüzumlu
sorguları yapmasıdır. Bu özellik yararlı gözükse de bir saldırı çeşidi olarak
kullanılabilir mi?
Buraya
kadar anlatılan tüm makineler, bir ağda birbirleri ile iletişimli olarak
çalışır. Bu iletişimlerin gösterildiği, bir mesele halinde tüm fotoğrafın
görülebildiği evraklara lüzum bulunmaktadır. Sektörde bu evraklara topoloji
ismi verilmektedir. Bu topolojiler manasal yalnızca trafiğin nerelerden hangi
gizeme ile geçtiğinin gösterildiği ve fiziksel tüm kablo iletişimlerinin ayrı
ayrı, hangi aygıt hangi makineye hangi portlarından fiziksel olarak
bağlandığının gösterildiği olmak üzere ikiye parçalar. Bu topolojilerin doğru
ve aktüel olması bir mesele halinde müdahalenin süratlice yapılması, sualin
düzgün tespit edilebilmesini sağlayacaktır. Ayrıca bir saldırgana bir sonraki
adımın neresi olacağının kararını verdirerek yol gösterici olabilir bu yüzden
saklı yakalanmalıdır.
(Onur AKTAŞ, Siber Güvenlik, S.54-55, 2017)
1.2. Dünya’nın
En Büyük 10 Siber Güvenlik Şirketi
|
Şekil 15:Dünya’nın En Büyük 10 Siber Güvenlik
Şirketi |
Siber kabahatler artık insanlar, işletmeler ve hükümetler
için ehemmiyetli bir kaygı kaynağı. Son olarak bu yaz başında 150’yi aşkın
ülkeyi vuran fidye yazılımı WannaCry atağı gibi büyük ölçekli siber hamleler,
hükümetlere ve işletmelere milyarlarca dolar para kaybettiriyor, işletmelerin
pay bonoları üzerinde uzun vadeli negatif tesirlere yol açıyor.
Siber atakların yalnızca
geçen yılki toplam maliyeti dudak uçuklatıyor: 400 milyar dolar. Özellikle son
iki yıldır hakikatleştirilen küresel çapta korsan hücumları riskin ebatlarını
ortaya koyarken, siber güvenlik pazarını da devasa bir sektör haline getirdi.
WannaCry eşi bir siber hücumun mağduru olmak istemeyen işletmeler, siber
güvenliği öncelik olarak gündemlerine alıp, dışardan hizmet alıyor. Natürel bu
mevzuda danışmanlık hizmeti veren işletmeler de ihya oluyor. Bu alanda hizmet
veren binlerce firma var.
Dört
Büyükler
0 Comments:
Yorum Gönder