Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

SALDIRILAR VE TESPİT SİSTEMLERİ HAMDİ OKUR 05260013 ÖMER ALTUĞ 05260039.

Benzer bir sunumlar


... konulu sunumlar: "SALDIRILAR VE TESPİT SİSTEMLERİ HAMDİ OKUR 05260013 ÖMER ALTUĞ 05260039."— Sunum transkripti:

1 SALDIRILAR VE TESPİT SİSTEMLERİ HAMDİ OKUR ÖMER ALTUĞ

2 Konu Başlıkları Çeşitli Saldırı Teknikleri ve Önleme Yöntemleri Çeşitli Saldırı Teknikleri ve Önleme Yöntemleri Saldırı Tespit Sistemleri Saldırı Tespit Sistemleri Veri Madenciliği Veri Madenciliği

3 Bilgi Güvenliği Kavramı Bilişim ürünleri/cihazları ile bu cihazlarda işlenmekte olan verilerin bütünlüğü ve sürekliliğini korumayı amaçlayan çalışma alanıdır. Bilişim ürünleri/cihazları ile bu cihazlarda işlenmekte olan verilerin bütünlüğü ve sürekliliğini korumayı amaçlayan çalışma alanıdır.

4 Tehdit Türleri İç Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım Bilgisiz ve Bilinçsiz Kullanım Kötü Niyetli Hareketler Kötü Niyetli Hareketler ~ % 80 Dış Tehdit Unsurları Hedefe Yönelmiş Saldırılar Hedef Gözetmeyen Saldırılar ~ % 20

5 İç Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım Bilgisiz ve Bilinçsiz Kullanım Temizlik Görevlisinin Sunucunun Fişini Çekmesi Temizlik Görevlisinin Sunucunun Fişini Çekmesi Eğitilmemiş Çalışanın Veritabanını Silmesi Eğitilmemiş Çalışanın Veritabanını Silmesi Kötü Niyetli Hareketler Kötü Niyetli Hareketler İşten Çıkarılan Çalışanın, Kuruma Ait Web Sitesini Değiştirmesi İşten Çıkarılan Çalışanın, Kuruma Ait Web Sitesini Değiştirmesi Bir Çalışanının, Ağda “Sniffer” Çalıştırarak E-postaları Okuması Bir Çalışanının, Ağda “Sniffer” Çalıştırarak E-postaları Okuması Bir Yöneticinin, Geliştirilen Ürünün Planını Rakip Kurumlara Satması Bir Yöneticinin, Geliştirilen Ürünün Planını Rakip Kurumlara Satması

6 Dış Tehdit Unsurları Hedefe Yönelmiş Saldırılar Hedefe Yönelmiş Saldırılar Bir Saldırganın Kurum Web Sitesini Değiştirmesi Bir Saldırganın Kurum Web Sitesini Değiştirmesi Bir Saldırganın Kurum Muhasebe Kayıtlarını Değiştirmesi Bir Saldırganın Kurum Muhasebe Kayıtlarını Değiştirmesi Birçok Saldırganın Kurum Web Sunucusuna Hizmet Aksatma Saldırısı Yapması Birçok Saldırganın Kurum Web Sunucusuna Hizmet Aksatma Saldırısı Yapması Hedef Gözetmeyen Saldırılar Hedef Gözetmeyen Saldırılar Virüs Saldırıları (Melissa, CIH – Çernobil, Vote) Virüs Saldırıları (Melissa, CIH – Çernobil, Vote) Worm Saldırıları (Code Red, Nimda) Worm Saldırıları (Code Red, Nimda) Trojan Arka Kapıları (Netbus, Subseven, Black Orifice) Trojan Arka Kapıları (Netbus, Subseven, Black Orifice)

7 Saldırı Kavramı Kurum ve şahısların sahip oldukları tüm değer ve bilgilere izinsiz erişmek, zarar vermek, maddi/manevi kazanç sağlamak için bilişim sistemleri kullanılarak yapılan her türlü hareket dijital saldırı olarak tanımlanabilir. Kurum ve şahısların sahip oldukları tüm değer ve bilgilere izinsiz erişmek, zarar vermek, maddi/manevi kazanç sağlamak için bilişim sistemleri kullanılarak yapılan her türlü hareket dijital saldırı olarak tanımlanabilir.

8 Saldırgan Türleri Profesyonel Suçlular Profesyonel Suçlular Genç Kuşak Saldırganlar Genç Kuşak Saldırganlar Kurum Çalışanları Kurum Çalışanları Endüstri ve Teknoloji Casusları Endüstri ve Teknoloji Casusları Dış Ülke yönetimleri Dış Ülke yönetimleri

9 Saldırı Yöntemleri Hizmet Aksatma Saldırıları Hizmet Aksatma Saldırıları Dağıtık Hizmet Aksatma Saldırıları Dağıtık Hizmet Aksatma Saldırıları Ticari Bilgi ve Teknoloji Hırsızlıkları Ticari Bilgi ve Teknoloji Hırsızlıkları Web Sayfası İçeriği Değiştirme Saldırıları Web Sayfası İçeriği Değiştirme Saldırıları Kurum Üzerinden Farklı Bir Hedefe Saldırmak Kurum Üzerinden Farklı Bir Hedefe Saldırmak Virüs, Worm, Trojan Saldırıları Virüs, Worm, Trojan Saldırıları İzinsiz Kaynak Kullanımı İzinsiz Kaynak Kullanımı

10 Saldırılarda Sıkça Kullanılan Teknikler Sosyal Mühendislik Sosyal Mühendislik Ağ Haritalama Ağ Haritalama Uygulama Zayıflıkları Uygulama Zayıflıkları Yerel Ağ Saldırıları Yerel Ağ Saldırıları Spoofing Spoofing Hizmet Aksatma Saldırıları (Dos, DDos) Hizmet Aksatma Saldırıları (Dos, DDos) Virüs, Worm, Trojan Kullanımı Virüs, Worm, Trojan Kullanımı

11 Sosyal Mühendislik Amaç kurum yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır. Amaç kurum yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır. Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, bilinen en iyi örnekleridir. Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, bilinen en iyi örnekleridir.

12 Sosyal Mühendislik – Önleme Yöntemleri Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir. Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir. Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri mutlak incelenmelidir. Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri mutlak incelenmelidir. Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır. Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır.

13 Ağ Haritalama Aktif sistemlerin belirlenmesi, işletim sistemlerinin saptanması, aktif servislerin belirlenmesi ve bu bileşenlerin ağ üzerindeki konumlarının belirlenmesi gibi aşamalardan oluşur. Aktif sistemlerin belirlenmesi, işletim sistemlerinin saptanması, aktif servislerin belirlenmesi ve bu bileşenlerin ağ üzerindeki konumlarının belirlenmesi gibi aşamalardan oluşur. Saldırgan, hedef ağın yöneticisi ile aynı bilgi seviyesine ulaşana kadar bu süreç devam etmektedir. Saldırgan, hedef ağın yöneticisi ile aynı bilgi seviyesine ulaşana kadar bu süreç devam etmektedir.

14 Ağ Haritalamada Ulaşılmak İstenen Bilgiler Hedef ağdaki tüm bileşenler. Hedef ağdaki tüm bileşenler. Hedef ağa ait olan alan adı, IP aralığı ve internet erişim hattının ait olduğu kurumlar, kişiler, bitiş süreleri. Hedef ağa ait olan alan adı, IP aralığı ve internet erişim hattının ait olduğu kurumlar, kişiler, bitiş süreleri. Hedef ağdaki aktif bileşenlerin işletim sistemleri, sürümleri, yama seviyesi. Hedef ağdaki aktif bileşenlerin işletim sistemleri, sürümleri, yama seviyesi. Sunucu sistemler üzerinde çalışan servisler, kullanılan uygulamalar ve yama seviyeleri. Sunucu sistemler üzerinde çalışan servisler, kullanılan uygulamalar ve yama seviyeleri. Hedef ağdaki tüm güvenlik uygulamaları, erişim listeleri, sürümleri, yama seviyeleri. Hedef ağdaki tüm güvenlik uygulamaları, erişim listeleri, sürümleri, yama seviyeleri.

15 Ağ Haritalamada Kullanılan Teknikler Sosyal Mühendislik Sosyal Mühendislik Ping Taraması (Ping Sweep) Ping Taraması (Ping Sweep) Port Tarama (Port Scanning) Port Tarama (Port Scanning) İşletim Sistemi Saptama (Os Fingerprinting) İşletim Sistemi Saptama (Os Fingerprinting) Yol Haritası Belirleme (Tracerouting) Yol Haritası Belirleme (Tracerouting) Güvenlik Duvarı Kural Listesi Belirleme (Firewalking) Güvenlik Duvarı Kural Listesi Belirleme (Firewalking) Saldırı Tespit Sistemi Saptama/İnceleme Saldırı Tespit Sistemi Saptama/İnceleme

16 Ağ Haritalama – Önleme Yöntemleri Güvenlik Duvarı üzerinde, ağın devamlılığı için gerekli olmayan, internetten ağa yönelik her türlü IP paketini engelleyecek kurallar belirlemek. Güvenlik Duvarı üzerinde, ağın devamlılığı için gerekli olmayan, internetten ağa yönelik her türlü IP paketini engelleyecek kurallar belirlemek. Güvenlik Duvarını uygulama seviyesinde kullanmak veya ağdaki işletim sistemlerini ele vermeyecek şekilde yapılandırmak. Güvenlik Duvarını uygulama seviyesinde kullanmak veya ağdaki işletim sistemlerini ele vermeyecek şekilde yapılandırmak. Saldırı Tespit Sistemlerini gerekli olmadıkça tepki vermeyecek şekilde yapılandırmak. Saldırı Tespit Sistemlerini gerekli olmadıkça tepki vermeyecek şekilde yapılandırmak.

17 Yerel Ağ Saldırıları Yerel ağda bulunan kullanıcıların, sahip oldukları hakları kötü niyetli kullanması sonucu oluşmaktadır. Yerel ağda bulunan kullanıcıların, sahip oldukları hakları kötü niyetli kullanması sonucu oluşmaktadır. Amaç genelde diğer çalışanların e-postalarını okumak, yöneticilerin şifrelerini yakalamak, kuruma veya farklı bir çalışana ait bilgilerin incelenmesi olmaktadır. Amaç genelde diğer çalışanların e-postalarını okumak, yöneticilerin şifrelerini yakalamak, kuruma veya farklı bir çalışana ait bilgilerin incelenmesi olmaktadır. Paket yakalamak, oturum yakalamak, oturumlara müdahale etmek en sık kullanılan saldırılardır. Paket yakalamak, oturum yakalamak, oturumlara müdahale etmek en sık kullanılan saldırılardır.

18 Yerel Ağ Saldırılarında Kullanılan Teknikler Sniffer kullanarak paket yakalamak. Sniffer kullanarak paket yakalamak. Yakalanan paketlerin ait olduğu oturumları yakalamak ve müdahale etmek. Yakalanan paketlerin ait olduğu oturumları yakalamak ve müdahale etmek. SSH ve SSL oturumlarını yakalamak, güvenli sanılan oturumlardan veri çalmak. SSH ve SSL oturumlarını yakalamak, güvenli sanılan oturumlardan veri çalmak.

19 Yerel Ağ Saldırıları – Önleme Yöntemleri Hub kullanılan ağlarda Switch kullanımına geçmek. Hub kullanılan ağlarda Switch kullanımına geçmek. Switch’leri her porta bir MAC adresi gelecek yapılandırmak, kaliteli Switch’ler kullanarak MAC adresi tablosunun taşmamasını sağlamak. Switch’leri her porta bir MAC adresi gelecek yapılandırmak, kaliteli Switch’ler kullanarak MAC adresi tablosunun taşmamasını sağlamak. Ağ üzerindeki tüm istemcilerde statik ARP tabloları oluşturmak ve değişiklikleri izlemek. Ağ üzerindeki tüm istemcilerde statik ARP tabloları oluşturmak ve değişiklikleri izlemek. SSH / SSL kullanılan oturumlarda en yeni sürümleri ve en yeni şifreleme algoritmalarını kullanmak. SSH / SSL kullanılan oturumlarda en yeni sürümleri ve en yeni şifreleme algoritmalarını kullanmak.

20 Spoofing Basitçe kaynak yanıltma olarak tanımlanabilir. Basitçe kaynak yanıltma olarak tanımlanabilir. Genelde hedeften ek haklar kazanmak, saldırı suçundan farklı kişilerin/kurumların sorumlu olmasını sağlamak, kendini gizlemek veya dağıtık saldırılar düzenlemek için kullanılmaktadır. Genelde hedeften ek haklar kazanmak, saldırı suçundan farklı kişilerin/kurumların sorumlu olmasını sağlamak, kendini gizlemek veya dağıtık saldırılar düzenlemek için kullanılmaktadır. Çeşitli protokollerde, doğrulama sistemlerinde ve uygulamaya özel işlemlerde uygulanabilmektedir. Çeşitli protokollerde, doğrulama sistemlerinde ve uygulamaya özel işlemlerde uygulanabilmektedir.

21 Spoofing Teknikleri MAC adreslerinin fiziki olarak değiştirilmesi veya ethernet paketlerindeki değişiklikler ile MAC Spoofing yapılabilir. MAC adreslerinin fiziki olarak değiştirilmesi veya ethernet paketlerindeki değişiklikler ile MAC Spoofing yapılabilir. ARP protokolündeki paketlerde IP/MAC adresleri eşleşmesini yanıltarak ARP Spoofing yapılabilir. ARP protokolündeki paketlerde IP/MAC adresleri eşleşmesini yanıltarak ARP Spoofing yapılabilir. IP Paketlerindeki kaynak IP adresini değiştirerek IP Spoofing yapılabilir. IP Paketlerindeki kaynak IP adresini değiştirerek IP Spoofing yapılabilir. DNS sunucularını ele geçirerek veya sorgulara sahte cevaplar vererek DNS spoofing yapılabilir. DNS sunucularını ele geçirerek veya sorgulara sahte cevaplar vererek DNS spoofing yapılabilir. Web sunucudan alınmış cookie’nin kopyalanması suretiyle kimlik yanıltması yapılabilir. Web sunucudan alınmış cookie’nin kopyalanması suretiyle kimlik yanıltması yapılabilir. Parmak izi sistemlerinde, daha önce alınmış parmak izi örneği kullanılarak yapılabilir. Parmak izi sistemlerinde, daha önce alınmış parmak izi örneği kullanılarak yapılabilir.

22 Spoofing – Örnek Spoofing İşlemi Saldırılacak Sistem Yerine Geçilecek Sistem Saldırgan Devre Dışı Kal Ben “O”yum 12

23 Spoofing – Önleme Yöntemleri Harici doğrulama sistemleri kullanmak Harici doğrulama sistemleri kullanmak IP, DNS, ARP, MAC adresleriyle doğrulama kullanan servisleri devre dışı bırakmak IP, DNS, ARP, MAC adresleriyle doğrulama kullanan servisleri devre dışı bırakmak Statik ARP tabloları kullanmak, Switch’lerde her porta bir MAC adresi eşleşmesini sağlamak ve Swtich’leri tablo taşmalarından korumak Statik ARP tabloları kullanmak, Switch’lerde her porta bir MAC adresi eşleşmesini sağlamak ve Swtich’leri tablo taşmalarından korumak Ters sorguları aktif hale getirmek (RDNS, RARP vb.) Ters sorguları aktif hale getirmek (RDNS, RARP vb.) Doğrulama bilgilerinin (şifre, dosyalar vb.) istemci sisteminde tutulmasını engellemek Doğrulama bilgilerinin (şifre, dosyalar vb.) istemci sisteminde tutulmasını engellemek

24 Hizmet Aksatma Saldırıları Protokol, işletim sistemi veya uygulamada bulunan zayıflıkların sonucunda, sunucunun servis veremez hale getirilmesidir. Protokol, işletim sistemi veya uygulamada bulunan zayıflıkların sonucunda, sunucunun servis veremez hale getirilmesidir. Hedef bir sunucu, servis, uygulama veya ağın devre dışı bırakılması olabilir. Hedef bir sunucu, servis, uygulama veya ağın devre dışı bırakılması olabilir. Tek merkezli yada çok merkezli olarak yapılabilir. Tek merkezli yada çok merkezli olarak yapılabilir.

25 Hizmet Aksatma Saldırıları – Önleme Yöntemleri Uygulama ve işletim sistemlerinin yayınlanmış tüm güncelleme/yamaları uygulanmalı, yeni sürümlerle hizmet verilmelidir Uygulama ve işletim sistemlerinin yayınlanmış tüm güncelleme/yamaları uygulanmalı, yeni sürümlerle hizmet verilmelidir Uygulama seviyesinde güvenlik duvarları kullanılmalı ve uygulamalara yönelik tek merkezli saldırılar takip edilmelidir Uygulama seviyesinde güvenlik duvarları kullanılmalı ve uygulamalara yönelik tek merkezli saldırılar takip edilmelidir Güvenlik Duvarı üzerinde, ağın devamlılığı için gerekli olmayan, internetten ağa yönelik her türlü IP paketini engelleyecek kurallar belirlenmelidir Güvenlik Duvarı üzerinde, ağın devamlılığı için gerekli olmayan, internetten ağa yönelik her türlü IP paketini engelleyecek kurallar belirlenmelidir

26 Virüs, Worm,Trojan,Spam Tehlikeleri Virüs’ler e-posta, veri taşıma ortamları (disket, cd, dvd vb.) ve web sayfaları ile yayılabilir (Melisa, CIH) Virüs’ler e-posta, veri taşıma ortamları (disket, cd, dvd vb.) ve web sayfaları ile yayılabilir (Melisa, CIH) Worm’lar, Virüs’lerin kullandıkları yöntemlere ek olarak, uygulama/işletim sistemi zayıflıkları ile saldırılar düzenleyebilir ve bu şekilde de yayılabilir (Code Red, Nimda) Worm’lar, Virüs’lerin kullandıkları yöntemlere ek olarak, uygulama/işletim sistemi zayıflıkları ile saldırılar düzenleyebilir ve bu şekilde de yayılabilir (Code Red, Nimda) Trojan’lar ancak ilgili uygulama çalıştırıldığında etkili olmaktadır (Netbus, Subseven) Trojan’lar ancak ilgili uygulama çalıştırıldığında etkili olmaktadır (Netbus, Subseven) Spamler mail ile sisteme bulaşan ve zarar veren yazılımlardır. Spamler mail ile sisteme bulaşan ve zarar veren yazılımlardır.

27 Virüs, Worm ve Trojan’ları Önleme Yöntemleri Anti-Virüs sistemleri, tüm istemci ve sunucuları koruyacak şekilde kullanılmalıdır Anti-Virüs sistemleri, tüm istemci ve sunucuları koruyacak şekilde kullanılmalıdır Worm saldırılarını engelleyebilmek için Saldırı Tespit Sistemleri (eğer mümkün ise Güvenlik Duvarı) üzerinde önlemler alınmalıdır Worm saldırılarını engelleyebilmek için Saldırı Tespit Sistemleri (eğer mümkün ise Güvenlik Duvarı) üzerinde önlemler alınmalıdır İnternet üzerinden kurumsal ağa gelen FTP, HTTP, SMTP, POP3, IMAP gibi protokollere ait paketler Anti- Virüs sistemleri tarafından incelenmeli, mümkün ise Anti-Virüs ağ geçidi kullanılmalıdır İnternet üzerinden kurumsal ağa gelen FTP, HTTP, SMTP, POP3, IMAP gibi protokollere ait paketler Anti- Virüs sistemleri tarafından incelenmeli, mümkün ise Anti-Virüs ağ geçidi kullanılmalıdır

28 Web Sayfası Değişimleri – Yahoo 7/2/2000

29 Web Sayfası Değişimleri – tk.gov.tr 4/11/2001

30 Görülebilecek Zararın Boyutu Müşteri Mağduriyeti Müşteri Mağduriyeti Kaynakların Tüketimi Kaynakların Tüketimi İş Yavaşlaması veya Durdurulması İş Yavaşlaması veya Durdurulması Kurumsal İmaj Kaybı Kurumsal İmaj Kaybı Üçüncü Şahıslara Karşı Yapılacak Saldırı Mesuliyeti Üçüncü Şahıslara Karşı Yapılacak Saldırı Mesuliyeti

31 Ağda Bulunan ve Potansiyel Risk İçeren Sistemler DMZ Yerel Ağ Güvenlik Duvarı İnternet Diğer Ağlar Router Varsayılan Kurulumda Bırakılan Web Sunucusu Relay’e İzin Veren E- Posta Sunucusu Sekrete ait istemci Sistem yöneticisine ait istemci Bölünmüş Paketleri Gözardı Eden Güvenlik Duvarı Kaynak Yönlendirme veya Spoofing Yapılabilen Router

32 Genel Güvenlik Önlemleri Bir Güvenlik Politikası Oluşturulmalı. Bir Güvenlik Politikası Oluşturulmalı. Tüm Ağ Sorun Kaldırabilecek Şekilde ve Politikada Belirlendiği Gibi Yapılandırılmalı. Tüm Ağ Sorun Kaldırabilecek Şekilde ve Politikada Belirlendiği Gibi Yapılandırılmalı. Düzenli Olarak Yedekleme Yapılmalı ve Yedekler Kontrol Edilmeli.(ör:Database Backup) Düzenli Olarak Yedekleme Yapılmalı ve Yedekler Kontrol Edilmeli.(ör:Database Backup) Gerek Duyulan Güvenlik Uygulamaları Kullanılmalı Gerek Duyulan Güvenlik Uygulamaları Kullanılmalı Güvenlik Duvarı Güvenlik Duvarı Saldırı Tespit Sistemi(IDS) Saldırı Tespit Sistemi(IDS) Saldırı Koruma Sistemi(IPS) Saldırı Koruma Sistemi(IPS) Anti-Virüs,AntiSpam,Anti Spyware Sistemi Anti-Virüs,AntiSpam,Anti Spyware Sistemi Ağ Düzenli Olarak Denetlenmeli ve İzlenmeli(Sniffer vb…) Ağ Düzenli Olarak Denetlenmeli ve İzlenmeli(Sniffer vb…) Çalışanlar Politikalar ve Uygulamalar Konusunda Eğitilmeli. Çalışanlar Politikalar ve Uygulamalar Konusunda Eğitilmeli. Erişim listeleri(ACL),Kullanıcı kullanım kısıtlamaları. Erişim listeleri(ACL),Kullanıcı kullanım kısıtlamaları.

33 Listelenen önlemler alındığında daha verimli ve güvenli bir ağ elde edilir. Listelenen önlemler alındığında daha verimli ve güvenli bir ağ elde edilir. Çeşitli saldırı yöntemlerini gördük, önemli olan saldırının sisteme büyük zararlar vermesine engel olmaktır,bunun için alarm sistemlerine sahip olan saldırı tespit sistemleri kullanılır. Çeşitli saldırı yöntemlerini gördük, önemli olan saldırının sisteme büyük zararlar vermesine engel olmaktır,bunun için alarm sistemlerine sahip olan saldırı tespit sistemleri kullanılır. Şimdi güvenlik önlemlerinden saldırı tespit sistemleri inceleyelim. Şimdi güvenlik önlemlerinden saldırı tespit sistemleri inceleyelim.

34 Saldırı Tespit Sistemi Internet veya yerel ağdan gelebilecek, ağdaki sistemlere zarar verebilecek, çeşitli paket ve verilerden oluşan saldırıları fark etmek üzere tasarlanmış sistemlerdir. Temel amaçları saldırıyı tespit etmek ve bunu ilgili kişilere mail, sms vs. mesajlarla iletmektir. Internet veya yerel ağdan gelebilecek, ağdaki sistemlere zarar verebilecek, çeşitli paket ve verilerden oluşan saldırıları fark etmek üzere tasarlanmış sistemlerdir. Temel amaçları saldırıyı tespit etmek ve bunu ilgili kişilere mail, sms vs. mesajlarla iletmektir. Saldırı Tespit Sistemleri çeşitli yazılımlardır. Saldırı Tespit Sistemleri çeşitli yazılımlardır.

35 Saldırı Tespit Sistemleri Saldırı tespiti ile ilgili yaklaşımı ikiye ayırırız. Kalıp Eşleştirme (Signature) Sistemleri: Önceden tespit edilmiş saldırıların eş zamanlı olarak işleyici tarafından karşılaştırılmasını esas alır.Sistemde saldırılar için bir veritabanı bulunur. Kalıp Eşleştirme (Signature) Sistemleri: Önceden tespit edilmiş saldırıların eş zamanlı olarak işleyici tarafından karşılaştırılmasını esas alır.Sistemde saldırılar için bir veritabanı bulunur. Yeni saldırılar tespit edilemez. Yeni saldırılar tespit edilemez. Ör:\ Snort vb. Ör:\ Snort vb.

36

37

38

39

40 Anormallik Tespiti:Sistemi önce öğrenen, istatistiksel olarak normal çalışma yapısını çıkaran sistemlerdir. Buna göre anormal davranışları yakalarlar. Saldırıları tanımak için normal kullanım örüntülerinden sapma yapanların bulunması şeklindedir. Anormallik Tespiti:Sistemi önce öğrenen, istatistiksel olarak normal çalışma yapısını çıkaran sistemlerdir. Buna göre anormal davranışları yakalarlar. Saldırıları tanımak için normal kullanım örüntülerinden sapma yapanların bulunması şeklindedir. Ör:\ Cylant Secure, NFR(Network Flight Recorder) vb. Ör:\ Cylant Secure, NFR(Network Flight Recorder) vb.

41 Saldırı Tespit Sisteminin Faydaları Ağdaki saldırıları bulmada ve engellemede en büyük yardımcılardır. Ağdaki saldırıları bulmada ve engellemede en büyük yardımcılardır. Güvenlik duvarları ve yönlendiriciler gibi pasif güvenlik cihazları değildirler. Güvenlik duvarları ve yönlendiriciler gibi pasif güvenlik cihazları değildirler. Aktif olarak raporlama, engelleme ve öğrenme gibi işlevleri yerine getirirler. Aktif olarak raporlama, engelleme ve öğrenme gibi işlevleri yerine getirirler. Saldırı davranışlarından güvenlik zaafları bulunabilmektedir.Hangi noktaların güçlendirilmesi gerektiği bulunabilir. Saldırı davranışlarından güvenlik zaafları bulunabilmektedir.Hangi noktaların güçlendirilmesi gerektiği bulunabilir.

42 Bu yaklaşımların ana problemleri ise şunlardır: Bu yaklaşımların ana problemleri ise şunlardır: Kötüye kullanım tespitinde bilinen saldırı örüntüleri elle kodlanmak zorunda ve ilk kez yapılan saldırıların tespit edilmesi mümkün olamamaktadır. Anormallik tespitinde ise olaylar arasındaki ilişkilerin yakalanması mümkün olamamaktadır. Kötüye kullanım tespitinde bilinen saldırı örüntüleri elle kodlanmak zorunda ve ilk kez yapılan saldırıların tespit edilmesi mümkün olamamaktadır. Anormallik tespitinde ise olaylar arasındaki ilişkilerin yakalanması mümkün olamamaktadır.

43 Saldırı tespiti için bir başka yaklaşım veri madenciliği yaklaşımıdır. Veri madenciliği, büyük miktardaki veriden anlamlı bilginin açığa çıkarılmasıdır. Veri madenciliği tabanlı yaklaşımda öğrenim ve tespit ajanları bulunmaktadır. Bu yaklaşım akıllı ajan tabanlı bir yaklaşımdır. Öğrenim ajanları, tespit modelleri ile devamlı eğitilir. Tespit ajanları ise saldırıların tespit için güncellenmiş modeller kullanırlar. Saldırı tespiti için bir başka yaklaşım veri madenciliği yaklaşımıdır. Veri madenciliği, büyük miktardaki veriden anlamlı bilginin açığa çıkarılmasıdır. Veri madenciliği tabanlı yaklaşımda öğrenim ve tespit ajanları bulunmaktadır. Bu yaklaşım akıllı ajan tabanlı bir yaklaşımdır. Öğrenim ajanları, tespit modelleri ile devamlı eğitilir. Tespit ajanları ise saldırıların tespit için güncellenmiş modeller kullanırlar.

44 Saldırı tespitinde veri madenciliği kullanımının sebepleri ise şunlardır: Saldırı tespitinde veri madenciliği kullanımının sebepleri ise şunlardır: Veri merkezli bakış açısından bakıldığında saldırı tespiti bir veri analiz işidir. Veri merkezli bakış açısından bakıldığında saldırı tespiti bir veri analiz işidir. İstisna saptanması ve hata/alarm yönetimi gibi başarılı uygulamaları yerine getirir. İstisna saptanması ve hata/alarm yönetimi gibi başarılı uygulamaları yerine getirir.

45 Saldırı Tespit Sisteminin Problemleri Saldırı tespit sistemleri birçok avantaja sahip olmakla birlikte bazı problemleri de bulunmaktadır. Kötüye kullanım tespiti tabanlı yaklaşımda saldırı örüntüleri elle kodlanmak zorundadır ve ilk kez yapılan saldırılar (novel attacks) tanınamamaktadır. Saldırı tespit sistemleri birçok avantaja sahip olmakla birlikte bazı problemleri de bulunmaktadır. Kötüye kullanım tespiti tabanlı yaklaşımda saldırı örüntüleri elle kodlanmak zorundadır ve ilk kez yapılan saldırılar (novel attacks) tanınamamaktadır.

46 Anormallik tespiti tabanlı yaklaşımda ise olaylar arasında ilişki kurmak mümkün olamamaktadır. Anormallik tespiti tabanlı yaklaşımda ise olaylar arasında ilişki kurmak mümkün olamamaktadır. Saldırı tespit sistemleri önemli ölçüde yanlış alarm üretmektedirler (false alarm). Saldırı tespit sistemleri önemli ölçüde yanlış alarm üretmektedirler (false alarm). Üzerinde veri madenciliği yapılacak saldırı verisi fazla olduğunda sistem etkin olarak çalışamamaktadır. Üzerinde veri madenciliği yapılacak saldırı verisi fazla olduğunda sistem etkin olarak çalışamamaktadır.

47 Veri madenciliği yaklaşımlı saldırı tespitinin false positive (aslında saldırı meydana gelmediği halde STS tarafından sanki bir saldırı varmış gibi alarm verilmesi) oranı daha yüksektir ve bu tip tespit, eğitim ile değerlendirme aşamalarında etkin olmama eğilimindedir. Ayrıca daha karmaşıktır. Veri madenciliği yaklaşımlı saldırı tespitinin false positive (aslında saldırı meydana gelmediği halde STS tarafından sanki bir saldırı varmış gibi alarm verilmesi) oranı daha yüksektir ve bu tip tespit, eğitim ile değerlendirme aşamalarında etkin olmama eğilimindedir. Ayrıca daha karmaşıktır.

48 Kural tabanlı saldırı tespit sistemleri uzman bilgilerine dayalı olarak kodlandıkları için değiştirilmeleri oldukça pahalı ve yavaştır. Kural tabanlı saldırı tespit sistemleri uzman bilgilerine dayalı olarak kodlandıkları için değiştirilmeleri oldukça pahalı ve yavaştır. Sunucu günlükleri kimi zaman güvenli olamadığından sunucu günlüklerine dayalı saldırı tespiti de yanlış sonuçlar verebilmektedir (sunucu günlükleri tehdit altında bulunabilir, birileri kanıtları ortadan kaldırmak isteyebilir). Sunucu günlükleri kimi zaman güvenli olamadığından sunucu günlüklerine dayalı saldırı tespiti de yanlış sonuçlar verebilmektedir (sunucu günlükleri tehdit altında bulunabilir, birileri kanıtları ortadan kaldırmak isteyebilir).

49 Veri Madenciliği Büyük hacimli veri içerisinden; anlamlı, gizli kalmış ve kuruluşun karar destek sistemi için faydalı olabilecek bilgilerin çıkarıldığı ve geri planında istatistik, yapay zeka ve veritabanlarının bulunduğu veri analiz tekniğine Veri Madenciliği (Data Mining) adı verilir. Veri madenciliği tekniğinin web verisine uygulanmasına ise web madenciliği adı verilmektedir. Web madenciliği temel olarak üç alt alana ayrılır: - Web İçerik Madenciliği - Web Yapı Madenciliği - Web Kullanım Madenciliği Büyük hacimli veri içerisinden; anlamlı, gizli kalmış ve kuruluşun karar destek sistemi için faydalı olabilecek bilgilerin çıkarıldığı ve geri planında istatistik, yapay zeka ve veritabanlarının bulunduğu veri analiz tekniğine Veri Madenciliği (Data Mining) adı verilir. Veri madenciliği tekniğinin web verisine uygulanmasına ise web madenciliği adı verilmektedir. Web madenciliği temel olarak üç alt alana ayrılır: - Web İçerik Madenciliği - Web Yapı Madenciliği - Web Kullanım Madenciliği

50 Veri madenciliğinin alt alanlarından birisi olan web kullanım madenciliği web sunucu günlük verileri üzerinde çalışır. Bu çalışma sonucunda kullanıcı erişim örüntüleri bulunur. Web kullanım madenciliği sayesinde bulunan kullanıcı davranışları saldırı tespitinde de etkin olarak kullanılabilmektedir. Veri madenciliğinin alt alanlarından birisi olan web kullanım madenciliği web sunucu günlük verileri üzerinde çalışır. Bu çalışma sonucunda kullanıcı erişim örüntüleri bulunur. Web kullanım madenciliği sayesinde bulunan kullanıcı davranışları saldırı tespitinde de etkin olarak kullanılabilmektedir.

51 Web Kullanım Madenciliği ile Saldırı Tespiti Web Kullanım Madenciliği ile Saldırı Tespiti Veri madenciliği ile saldırı tespiti yapılmasının en önemli bir tane nedeni vardır o da daha önceden meydana gelmemiş bir saldırıyı tanımadır. Veri madenciliği kullandığı kümeleme tekniği ile ilk olarak meydana gelen bir durumu tanıyabilmektedir. Kümelemede kullanıcılar genel özelliklerine dayalı olarak gruplara ayrılmaktadırlar.

52 Saldırının Tespit Yerlerine Göre Saldırılar Saldırı tespit sistemleri saldırının tespit edildiği noktaya göre iki grupta incelenebilir. Saldırı tespit sistemleri saldırının tespit edildiği noktaya göre iki grupta incelenebilir. 1-Ağ tabanlı 2-Host tabanlı

53 1. Ağ Tabanlı (Network Based): Bir bilgisayar ağının tamamını ya da belli bir kısmını izlerler. Ağ üzerinde herhangi bir noktadan çalıştırılabilirler. 2. Konak Tabanlı (Host Based): Belli bir bilgisayarı izlerler. Bu tür sistemler, izlenecek olan bilgisayar üzerinde çalışırlar. İzlenen bilgisayarı kullanan kullanıcıların yapacakları hatalardan dolayı oluşacak zararları önlemeye yöneliktirler.

54 STS`LERİN KURULUMLARI Saldırı tespit teknolojisi her büyük kuruluşun bilgisayar ağ güvenliği yapılandırmasına gerekli bir eklentidir. Saldırı tespit teknolojisi her büyük kuruluşun bilgisayar ağ güvenliği yapılandırmasına gerekli bir eklentidir. Etkili bir STS kurulumu dikkatli bir plan, hazırlanma, prototip oluşturma, test etme ve özelleştirilmiş deneyimler gerektirir. Etkili bir STS kurulumu dikkatli bir plan, hazırlanma, prototip oluşturma, test etme ve özelleştirilmiş deneyimler gerektirir.

55 AĞ TABANLI STS`LERİN KURULUMU Ağ tabanlı STS`lerin kurulumu sırasında karşılaşılacak olan bir soru sistem sensörlerinin nerede konumlandırılacağıdır. Ağ tabanlı STS`leri yerleştirmede yerine göre farklı avantajları olan birçok seçenek mevcuttur. Ağ tabanlı STS`lerin kurulumu sırasında karşılaşılacak olan bir soru sistem sensörlerinin nerede konumlandırılacağıdır. Ağ tabanlı STS`leri yerleştirmede yerine göre farklı avantajları olan birçok seçenek mevcuttur. Ağdaki her bir harici güvenlik duvarının arkası için avantajlar (Location 1 için) Ağdaki her bir harici güvenlik duvarının arkası için avantajlar (Location 1 için) Dış dünyadan kaynaklanan, ağın çevre savunmasını delip geçen saldırıları görür. Dış dünyadan kaynaklanan, ağın çevre savunmasını delip geçen saldırıları görür. Ağ firewall poliçesi ve performansıyla problemleri aydınlatır. Ağ firewall poliçesi ve performansıyla problemleri aydınlatır. Web ve ftp sunucularını hedef alan saldırıları görür. Web ve ftp sunucularını hedef alan saldırıları görür. Eğer gelen saldırılar önlenmeyecek durumda olsalar dahi dışarıya giden trafiği düzenleyebilir. Eğer gelen saldırılar önlenmeyecek durumda olsalar dahi dışarıya giden trafiği düzenleyebilir.

56 Harici güvenlik duvarının dışı için avantajlar (Location 2 için) Harici güvenlik duvarının dışı için avantajlar (Location 2 için) Ağı hedef alan İnternet kaynaklı saldırıların doküman numaraları. Ağı hedef alan İnternet kaynaklı saldırıların doküman numaraları. Ağı hedef alan İnternet kaynaklı saldırıların doküman tipleri. Ağı hedef alan İnternet kaynaklı saldırıların doküman tipleri.

57

58 Büyük ağ omurgası için avantajlar (Location 3 için) Büyük ağ omurgası için avantajlar (Location 3 için) Ağ trafiğinin büyük bir miktarını görüntüler, böylece spoofing saldırılarının olabilirlikleri artar. Ağ trafiğinin büyük bir miktarını görüntüler, böylece spoofing saldırılarının olabilirlikleri artar. Kuruluşun güvenlik çemberinde yetkili kullanıcıların yetkisinin olmadığı/yetkisini aşan aktivitelerini tespit eder. Kuruluşun güvenlik çemberinde yetkili kullanıcıların yetkisinin olmadığı/yetkisini aşan aktivitelerini tespit eder. Kritik alt ağlar için avantajlar (Location 4 için) Kritik alt ağlar için avantajlar (Location 4 için) Kritik sistem ve kaynakları hedef alan saldırıları tespit eder. Kritik sistem ve kaynakları hedef alan saldırıları tespit eder.

59 BİLGİSAYAR TABANLI STS`LERİN KURULUMU Ağ tabanlı STS`ler çalıştırılınca, buna bilgisayar tabanlı STS`lerin eklenmesi sistemler için koruma seviyesini yükseltebilir. Bununla birlikte, bilgisayar tabanlı STS`lerin her bilgisayara kurulumu ve yapılandırılması çok büyük bir zaman kaybıdır. Bundan dolayı kuruluşların bilgisayar tabanlı STS`leri öncelikle kritik derecede önemi bulunan sunuculara kurmaları tavsiye edilir. Bu hem maliyeti düşürecek hem de personelin önemli sunucuların alarmları üzerine odaklanmasını sağlayacaktır. Ağ tabanlı STS`ler çalıştırılınca, buna bilgisayar tabanlı STS`lerin eklenmesi sistemler için koruma seviyesini yükseltebilir. Bununla birlikte, bilgisayar tabanlı STS`lerin her bilgisayara kurulumu ve yapılandırılması çok büyük bir zaman kaybıdır. Bundan dolayı kuruluşların bilgisayar tabanlı STS`leri öncelikle kritik derecede önemi bulunan sunuculara kurmaları tavsiye edilir. Bu hem maliyeti düşürecek hem de personelin önemli sunucuların alarmları üzerine odaklanmasını sağlayacaktır.

60 Bilgisayar tabanlı STS`ler normal çalışma durumuna geldiklerinde, daha fazla güvenlik eklentileri ilave edilebilir. Bunlar STS`lere merkezi yönetim ve rapor oluşturma fonksiyonları getirecektir. Bu özelliklerde büyük bilgisayar kümelerinin alarm yönetimlerinin karmaşıklılarını azaltacaktır. Bilgisayar tabanlı STS`ler normal çalışma durumuna geldiklerinde, daha fazla güvenlik eklentileri ilave edilebilir. Bunlar STS`lere merkezi yönetim ve rapor oluşturma fonksiyonları getirecektir. Bu özelliklerde büyük bilgisayar kümelerinin alarm yönetimlerinin karmaşıklılarını azaltacaktır.

61 ALARM STRATEJİLERİ Son olarak, STS`ler yapılandırılırken hangi alarm özelliklerinin hangi önemli durumlar olduğunda kullanılacağı sorusudur. STS`lerin birçoğu ayarlanabilir alarm özellikleriyle birlikte gelir. Bunlar büyük çeşitlilikle alarm seçenekleri, e- posta, paging, ağ yönetim protokol kapanları ve hatta saldırı kaynaklarının otomatikleştirilmiş engellenmesidir. Son olarak, STS`ler yapılandırılırken hangi alarm özelliklerinin hangi önemli durumlar olduğunda kullanılacağı sorusudur. STS`lerin birçoğu ayarlanabilir alarm özellikleriyle birlikte gelir. Bunlar büyük çeşitlilikle alarm seçenekleri, e- posta, paging, ağ yönetim protokol kapanları ve hatta saldırı kaynaklarının otomatikleştirilmiş engellenmesidir.

62 Kaynakça Bilgisayar Ağ Sistemleri Güvenliği,Öğr.Gör Erhan Kahya,Trakya Üniversitesi. Bilgisayar Ağ Sistemleri Güvenliği,Öğr.Gör Erhan Kahya,Trakya Üniversitesi. Güvenlik riskleri ve saldırı yöntemleri,Fatih Özavcı. Güvenlik riskleri ve saldırı yöntemleri,Fatih Özavcı. Çeşitli Kaynaklar… Çeşitli Kaynaklar…

63 Teşekkürler… Teşekkürler… Sorular ? Sorular ?


"SALDIRILAR VE TESPİT SİSTEMLERİ HAMDİ OKUR 05260013 ÖMER ALTUĞ 05260039." indir ppt

Benzer bir sunumlar


Google Reklamları