Kurumsal - PowerPoint PPT Presentation

About This Presentation
Title:

Kurumsal

Description:

Kurumsal Web G venli i Altyap s Ar. G r. Enis Karaarslan Ege niv. Kamp s A Y neticisi, ULAK-CSIRT yesi ULAK-CSIRT http://csirt.ulakbim.gov.tr/ – PowerPoint PPT presentation

Number of Views:116
Avg rating:3.0/5.0
Slides: 60
Provided by: Enis8
Learn more at: http://webguvenligi.org
Category:
Tags: csirt | kurumsal

less

Transcript and Presenter's Notes

Title: Kurumsal


1
  • Kurumsal
  • Web Güvenligi Altyapisi
  • Ar. Gör. Enis Karaarslan
  • Ege Üniv. Kampüs Ag Yöneticisi, ULAK-CSIRT üyesi
  • ULAK-CSIRT
  • http//csirt.ulakbim.gov.tr/

2
IÇERIK
  • 1. Güvenlik Hakkinda Temel Bilgiler
  • 2. Neden Web Güvenligi
  • 3. Kurumsal Web Güvenligi Modeli
  • Standartlari Olusturma/Uygulama
  • Güvenli Kodlama
  • Egitim / Sinama
  • Ag / web sistem farkindaligi
  • Saldiri Saptama
  • Saldiri Engelleme
  • Kurtarma
  • Koordinasyon Merkezi

3
IÇERIK (devam)
  • 4. Ag ve Web Sistem Farkindaligi
  • 5. ULAK-CSIRT Web Güvenligi Grubu
  • 6. Sonuç

4
  • 1. Güvenlik Hakkinda
  • Bazi Temel Bilgiler

5
Bilgi Sistemi ve Güvenlik
6
Zayifliklari çözmek ...
  • Zayiflik Her sistemde bilinen veya henüz
    bilinmeyen güvenlik açiklari vardir.
  • Zayifligin ögrenilmesinden sonra, o zayifligi
    kaldiracak önlemlerin (yama, ayar) uygulanmasi
    arasinda geçen zaman önemlidir.

7
Bir zayiflik ve yasananlarin kronolojik siradaki
listesi ...
8
  • Güvenlik bir ürün degil,
  • bir süreçtir.
  • Security is a process, not a product.
  • Bruce Schneier

9
Temel Güvenlik Önlemleri
  • Bilgi sistemlerinin güvenlik düsünülerek
    tasarlanmasi ve uygulanmasi
  • (secure by design)
  • Zayifliklarin/saldirilarin tespiti
  • Mümkün oldugunca saldirilarin engellenmesi,
  • Riskin azaltilmasi
  • Saldirganin isinin zorlastirilmasi

10
Güvenlik esaslari ...
  • Bir zincir, ancak en zayif halkasi kadar
    güçlüdür.
  • O zaman tek bir zincire güvenmemek gerekir ...
  • Mümkün oldugunca farkli önlemler alinmalidir.

11
Çok Katmanli Güvenlik
12
(No Transcript)
13
Çok Katmanli Güvenlik Örnegi
Her alt katman da birçok katmandan olusabilir.
14
Güvenlik ve kullanislilik?
Tabii ki karikatürdeki gibi olmamalidir. Güvenlik
önlemleri, sistemin kullanilmasini zor duruma
getirmemelidir.
15
  • 2. Neden Web Güvenligi ?

16
Web Tabanli Sistemler
  • Web (sunucu) kullanimi artiyor
  • bilgi sistemleri, ag cihazlari ... Vb
  • Web uygulamalarinin ve bu ortamdaki bilginin
    artmasi
  • Kurumun dünyaya açilan penceresi
  • Hizlica ve güvenlik düsünülmeden yapilan
    kurulumlar

17
Katmansal Web Güvenlik Yapisi
18
Web Uygulamasi
19
En Yaygin Web Uygulama Zayiflik Siniflari
20
Neden Web Güvenligi ?
  • Web tabanli saldirilar artmakta
  • Zone-H 400,000 (36) artis (2004)
  • CSI-FBI Computer Crime and Security Survey
    Ankete katilanlarin 95i, 2005 senesinde 10
    adetten fazla web sitesi saldirisi vakasi yasamis

21
Neden Web Güvenligi? (devam)
  • Web güvenligi saglanamadiginda kayiplar
  • Maddi kayip (Özellikle e-ticaret ile para
    aktarimi, banka uygulamalarinda),
  • Güven kaybi,
  • Sirket verilerinin kaybi ile yasanabilecek ticari
    risk,
  • Kisisel bilgilerin gizli kalma hakkinin ihlali,
  • Agda olusabilecek zayif noktadan
    kaynaklanabilecek diger saldirilar.

22
Web Saldiri Örnekleri
  • Sayfalar degistirilir
  • Sayfalar degistirilmez, siteden bilgiler
    çalinir ve yöneticilerin haberi olmaz.
  • Site kullanilarak kullanici bilgileri çalinmaya
    devam eder.

23
Güvenlik Ihlalinden Sorumlu Kim?
  • Ag / ag güvenligi yöneticisi?
  • Sunucu - veritabani Yöneticisi?
  • Programci
  • Hiçbiri
  • Hepsi

24
Web Güvenliginde Temel Problemler
  • Web güvenligine yeterli önem ve dikkatin
    verilmemesi
  • Geleneksel yöntemlerin yetersizligi
  • Yetersiz web sunucu güvenligi
  • Güvenli kodlama secure coding yapilmamasi

25
  • Eger bu kadar kötü yazilim güvenligine
  • sahip olmasaydik,
  • bu kadar çok ag güvenligine
  • ihtiyacimiz olmayacakti
  • Bruce Schneier

26
Bir savasi yenmek için, bireyin yöntemi bilmesi
gerekirSun TzuSavas SanatiThe Art of War
27
  • 3. Kurumsal Web Güvenligi Modeli

28
Kurumsal Aglarda Web Sistemleri
  • Üniversite aglari gibi büyük kurumsal aglarda,
  • farkli ve çok sayida web sistemleri,
  • farkli ekipler bulunmaktadir.
  • Güvenligini saglamak için
  • Daha kapsamli sistemler kullanilmali
  • Birbirleriyle etkilesimli çalismali

29
Kurumsal Web Güvenligi Modeli
  • Standartlastirma
  • Güvenli Kodlama
  • Sistem Farkindaligi
  • Egitim / Sinama
  • Saldiri Saptama
  • Saldiri Engelleme
  • Kurtarma
  • Esgüdüm Merkezi

30
(No Transcript)
31
3.1. Standartlastirma
  • Politika tabanli
  • Kullanim ve güvenlik politikalari
  • Neye izin verilir, neye izin verilmez.
  • Önerilen sistemin tanimlanmasi
  • Sablonlar, iyi uygulama örnekleri,
  • Güvenli Kodlama
  • Belgeleme

32
3.2. Güvenli Kodlama
  • Yazilim gelistirme yasam döngüsü (SDLC)
    içerisinde güvenli kodlama yapilmali ve zayiflik
    (vulnerability) testleri gerçeklestirilmeli
  • Güvence (Assurance) Modelleri
  • Ex. OWASP Clasp, Microsoft SDL
  • OWASP Güvenli Kodlama Belgeleri
  • http//www.owasp.org

33
Yazilim Gelistirirken Temel Esaslar
  • Kullanici Görev/Yetki tanimlama
  • Farkli güvenlik düzeyleri
  • En az yetki
  • Güvenli varsayilan ayarlar
  • Kademeli savunma
  • Önlemleri yalin tutmak
  • Saldiri alanini azaltmak
  • Güvenli düsmek

34
Güvenli Kodlama (devam)
  • Girdi /çikti denetiminin önemi
  • Yazilim kütüphaneleri ve siniflari güvenli
    kodlama esaslarina göre gelistirilmeli,
  • Güvenli kodlamayi destekleyen gelistirme
    ortamlari (Ör Strutus)

35
Güvenli Kodlama (devam)
  • Yeterince uygulanamamasinin nedenleri
  • Projeyi bitis zamanina yetistirme,
  • Programcilarin güvenli kodlama süreçleri hakkinda
    yeterince bilgi sahip olmamasi,
  • Müsterinin, bu konudaki beklentisini /
    yaptirimini vurgulamamasi.
  • Mümkün oldugunca çok önem verilmelidir.

36
3.3. Egitim / Test
  • Çalistay ve Çalisma Gruplari
  • Güvenli kodlama örnekleri ve saldiri senaryolari
  • Egitim Portali
  • Kurumun projeleri ile ilgili iyi uygulama
    örnekleri
  • Kilavuzlar, standartlar

37
Egitim / Test (devam)
  • Test Sunucusu
  • Kaynak kod analizi
  • Kara kutu analizleri (kaynak koda ulasmadan)

38
3.4. Ag / Web Sistem Farkindaligi
  • Sistemleri koruyabilmek için öncelikle korunmasi
    gereken sistemleri tanimak/tanimlamak gerekir.
  • Ayri bir bölüm olarak birazdan ayrintilari
    verilecek ...

39
3.5. Saldiri Engelleme
  • Ag Tabanli Erisim Denetimi
  • Örn. Ag güvenligi duvari, yönlendirici erisim
    listesi
  • Sunucu Yerel Güvenligi
  • Örn. Mod Security
  • Web Uygulama Güvenlik Duvari / Ters Vekil
  • Örn. Mod Security Mod Rewrite

40
Ters Vekil Sunucu
41
3.6. Saldiri Saptama
  • Saldiri Saptama Sistemleri
  • Örn. Snort, Mod Security
  • Günlük (Log) Dosyasi Denetimi
  • Saldirgan Tuzagi Aglari
  • (Honeynet, Honeypot)

42
3.7. Kurtarma
  • Sistem saldiriya ugradiginda
  • Acil Durum Plani var mi?
  • Yedek sunucu ?
  • Yedeklenen veriler ?
  • Adli inceleme ihtiyaci ?

43
Kurtarma Asamalari
  • Sunucuya erisimin engellenmesi
  • Ayrintili inceleme
  • Saldirilarin etkilerini temizleme
  • Sistemi yeniden çalistirma
  • Kullanicilarin durumdan haberdar edilmesi
  • Saldirganin saptanmasi

44
3.8. Koordinasyon Merkezi
  • Çok katmanli güvenlik yapisinda güvenlik
    önlemlerinin asagidaki sekilde çalismasini
    saglayacak bir sunucudur (sistemdir)
  • Birbirleriyle etkilesimli
  • Etkin

45
(No Transcript)
46
  • 4. Ag / Web Sistem Farkindaligi

47
4. Ag / Web Sistem Farkindaligi
  • Saldirgani tanimak (?)
  • Kendini tanimak,
  • Degerleri, neyin korunmasi gerektiginin
    tanimlanmasi
  • Sistemleri saldirgandan daha iyi tanimak ...

48
Ag / Web Sistem Farkindaligi(devam)
  • Ag Farkindaligi
  • ag üzerinde o an olmakta olanlari bilme yetenegi
  • Web Sistem Farkindaligi
  • Web Altyapi Farkindaligi
  • Zayiflik Testleri
  • Sistem Takibi

49
Web Sistem Farkindaligi
  • Web Altyapi Farkindaligi
  • Sistemin güncel/anlik durumu hakkinda bilgi
    toplamak
  • Zayiflik Testleri
  • Görünür/bilinir zayifliklari ögrenmek
  • Sistemi takip etmek
  • Sistemin su anki durumunu izlemek

50
Toplanmasi Hedeflenen Bilgiler
  • Web sunucusu üçüncü katman adresleri (IP
    adresleri),
  • Sunucu üzerindeki alan adlari
  • (Ör internet.ege.edu.tr),
  • Web servisi verilen ag kapilari (80, 8080 vb),
  • Sunucu üzerinde çalisan isletim sistemi (Linux,
    Windows vb),
  • Web sunucu yazilim türleri ve sürümleri (Apache
    2.0, IIS 6.0vb),

51
Toplanmasi Hedeflenen Bilgiler (devam)
  • Web uygulamalarinin gelistirildigi programlama
    dilleri türleri (cgi, php, asp,.net, jsp vb),
  • Uygulama dosya adi,
  • Uygulama çalisma yolu (dizin yapisi),
  • Kullanilan degistirgeler ve tipleri,
  • Sistemlere ait saldiriya açiklik raporlaridir

52
Bilgi Toplama Sistemleri
  • Ag kapisi ve uygulama tarayicilari
  • HTTP parmak izi alma sistemleri
  • Ag trafigi çözümleme sistemleri
  • Saldiri saptama sistemleri
  • Zayiflik (saldiriya açiklik) çözümleme sistemleri
  • Arama motorlari

53
5. Ulak-CSIRT Web Güvenlik Grubu
  • Egitim ve bilinçlendirme çalismalari çesitli
    seminerler ve toplantilar
  • Belgeleme Çalismalari
  • OWASP Ilk 10 Web Güvenlik Açigi 2007 (tercüme)
  • PHP Güvenlik Kitapçigi (hazirlanmakta)

54
Ulak-CSIRT Web Güvenlik Grubu (devam)
  • Web Sistem farkindaligi ve egitim konularina
    agirlik verilmektedir.
  • Merkezi Zayiflik tarama sistemi denemeleri
  • Açik kaynak kodlu yazilimlar denenmektedir.

55
6. SONUÇ
  • Kurumsal web güvenligi için, Web Güvenligi
    Modelindeki yöntemler uygulanmalidir
  • Kuruma uyan yöntemler seçilmeli
  • Mümkün oldugunca fazla yöntem devreye alinmali
  • Her yöntem sistemi daha karmasik hale mi getirir?
  • Temel hedefler asagidaki gibi olmali
  • Web sistem farkindaligi
  • Web sunucu yöneticilerini ve programcilarini
    egitmek/bilgilendirmek

56
Sonuç (devam)
  • Sistemler saldiri tespit sistemleri ile takip
    edilmelidir
  • Web sunuculari önüne web güvenlik duvari
    konuslanmalidir.
  • ULAK-CSIRT Web Güvenligi Çalisma Grubu bünyesinde
    bilinçlendirme çalismalari ve OWASP-TR ile
    isbirligi devam etmesi hedeflenmektedir

57
Sonuç (devam)
  • Bu sunum ve Kurumsal Web Güvenligi Altyapisi
    belgesi (yakinda) http//www.karaarslan.net/guvenl
    ik.html
  • Web Güvenligi Belgeleri
  • http//www.webguvenligi.org
  • http//websecurity.ege.edu.tr
  • http//csirt.ulakbim.gov.tr/belgeler

58
Degisim zordur, açik fikirli olmali ...
  • Önyargilari yok etmek, atom çekirdegini
    parçalamaktan daha zordur.
  • Einstein

59
  • Ilginiz için tesekkürler ...
  • Sorularinizi bekliyorum ...
  • Iletisim
  • csirt_at_ulakbim.gov.tr
  • info_at_karaarslan.net
  • ULAK-CSIRT
  • http//csirt.ulakbim.gov.tr/eng
Write a Comment
User Comments (0)
About PowerShow.com