Kurumsal Web Güvenliği Altyapısı

Slides:



Advertisements
Benzer bir sunumlar
Linux ile E-ticaret Barış Özyurt
Advertisements

Web uygulamalarında yeni bir yaklaşım AJAX
Bilgisayar Ağları ve İnternet
.NET FRAMEWORK -MASAÜSTÜ VE SUNUCU YAZILIMLARI
Hüseyin Gömleksizoğlu
SİSTEM YÖNETİMİ KOORDİNATÖRÜ
Bilişim Güvenliği Nedir?
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
WEB SERVİCE İDRİS YÜRÜK MAHMUT KAYA.
BİLGİ GÜVENLİĞİ.
Örnek Kampüs Uygulamaları ODTÜ Ulaknet Sistem Yönetim Konferansı - Güvenlik.
“IPv6 Balküpü Tasarımı”
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
GİRESUN ORMAN BÖLGE MÜDÜRLÜĞÜ BİLGİ İLETİŞİM TEKNOLOJİLERİ SEMİNERİ
Hostİng (bulundurma-yer sağlama) HİZMETİ
Proje Dosyanızda Yer Alacak Belgeler
AĞ PROTOKOLÜ.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
(İNTERNET SAYFALARI YÖNETİMİ)
Bilişim Güvenliğinde Yaşam Döngüsü ve Derinlik
(FIREWALLS) GÜVENLİK DUVARI GİRİŞ
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Bilişim Güvenliği Semineri
Site Türleri ve Yapıları
SOSYAL PAYLAŞIM SİTELERİ VE HUKUKSAL SORUNLAR
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Bilgisayar ve internet güvenliği için yardımcı programlar
SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.
İnternet Teknolojisi Temel Kavramlar
İNTERNET ADRESLERİ Ahmet SOYARSLAN biltek.info.
Sistem ve Ağ Yönetiminde Parola Yönetim Zorlukları
ODTÜ Bilgi İşlem Merkezi Anti-Spam Çalışmaları Tayfun Asker ODTÜ-BİDB
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
ŞİŞECAM’DA BİLGİ GÜVENLİĞİ
METU-CC ODTÜ AntiVirüs Sistemi ODTÜ Bilgi İşlem Daire Başkanlığı İbrahim ÇALIŞIR 3 Ekim 2003.
Türkiye’deki Üniversitelerde İnternet Tabanlı Akademik Kayıt ve Not Takip Sistemleri (IANTS) Y.Doç.Dr.Ender Özcan Yeditepe Üniversitesi.
İnternet Teknolojisi Temel Kavramlar
Erman Yukselturk1 PHP NEDİR? Scripting / Progralama dilidir (C’ye benzer) C ++ ortamında geliştirilmiştir Bedava / Açık Kod Hızlı, açık, dengeli (stable),
CensorNet Linux Internet Güvenlik Duvarı ve Kayıt Tutma Semineri
Grup üyeleri: Selen ERGÜ Galip Kaya Nazgül BARPİEVA
Bilişim Suçları Ve Güvenlik
İKMAP İnternet 1 Ders Notu
Bilgi ve İletişim Teknolojisi
24 Ekim 2008 HABTEKUS YTÜ1 IPv6 Ağlarında Solucan Dağılımı Onur BEKTAŞ onur at ulakbim. gov. tr.
Bilgisayar ve Veri Güvenliği
İNTERNET ADRESLERİ.
KONGRE YÖNETİM SİSTEMİ MEHMET TURAN M. SERTAÇ KELEŞ.
Yazılım Geliştirme Projesi
Türk Hava Kurumu Üniversitesi
WİNDOWS SERVER 2003’te KULLANICI VE GRUP HESAPLARI.
Ağ ve Sistem Güvenliği’nde Yaygın Problemler
Hazırlayan: EMRAH HAS. Eşzamanlı ya da eş zamansız, metin, grafik, animasyon, ses, video gibi içeriğin tamamen işlenmiş, yarı işlenmiş ya da ham veri.
KIRKLARELİ ÜNİVERSİTESİ
Psikolojik Danışman: Hasan KARAKIŞ.  Bilgisayar kullanımı yirminci yüzyılın özellikle son on yılında büyük bir hızla artmıştır. Bu artış, hem tüm dünyaya.
Ulusal Bilgi Sistemleri Güvenlik Programı Bilge KARABACAK 8 Haziran 2007, Ankara.
ÖMER ÜNALDI EDUROAM.
Güvenli İnternet Bankacılığı İçin Sanallaştırma ve Güvenilir Bilişim Uygulaması Bora GÜNGÖREN Portakal Teknoloji Akademik Bilişim2007.
Metadata, z39.50, FRBR, ve RDA. Ders içeriği Web kaynakları ve web kaynaklarında kimlikleme Derin web – Yüzeysel web Arama Motorları Metadata Kopya Kataloglama.
İNTERNET ADRESLERİ.
Dünyanın bilgisine açılan pencere...
Server Yönetim Programları
İNTERNET ADRESLERİ.
PROXY SERVER YASİN ÇAKIR
BOZOK ÜNİVERSİTESİ Merkezi Kimlik Doğrulama Sistemi
Dünyanın bilgisine açılan pencere...
Bu sununun aynısını (Animasyonlar vb
Genel PHP Akademik Bilişim 2003 Adana, Şubat 2003 Hidayet Doğan
KALABALIK RİSK YÖNETİMİ VE ACİL DURUM PLANLAMASI
I-BEKCI SİSTEMİNİN KAMPUS ORTAMINDA KULLANIMI
Sunum transkripti:

Kurumsal Web Güvenliği Altyapısı Ar. Gör. Enis Karaarslan Ege Üniv. Kampüs Ağ Yöneticisi, ULAK-CSIRT üyesi ULAK-CSIRT http://csirt.ulakbim.gov.tr/

İÇERİK 1. Güvenlik Hakkında Temel Bilgiler 2. Neden Web Güvenliği 3. Kurumsal Web Güvenliği Modeli Standartları Oluşturma/Uygulama Güvenli Kodlama Eğitim / Sınama Ağ / web sistem farkındalığı Saldırı Saptama Saldırı Engelleme Kurtarma Koordinasyon Merkezi

İÇERİK (devam) 4. Ağ ve Web Sistem Farkındalığı 5. ULAK-CSIRT Web Güvenliği Grubu 6. Sonuç

1. Güvenlik Hakkında Bazı Temel Bilgiler

Bilgi Sistemi ve Güvenlik SALDIRGAN GÜVENLİK ÖNLEMLERİ SALDIRI ZAYIFLIK KULLANICILAR

Zayıflıkları çözmek ... Zayıflık: Her sistemde bilinen veya henüz bilinmeyen güvenlik açıkları vardır. Zayıflığın öğrenilmesinden sonra, o zayıflığı kaldıracak önlemlerin (yama, ayar) uygulanması arasında geçen zaman önemlidir.

Bir zayıflık ve yaşananların kronolojik sıradaki listesi ...

Güvenlik bir ürün değil, bir süreçtir. Security is a process, not a product. Bruce Schneier

Temel Güvenlik Önlemleri Bilgi sistemlerinin güvenlik düşünülerek tasarlanması ve uygulanması (secure by design) Zayıflıkların/saldırıların tespiti Mümkün olduğunca saldırıların engellenmesi, Riskin azaltılması Saldırganın işinin zorlaştırılması

Güvenlik esasları ... Bir zincir, ancak en zayıf halkası kadar güçlüdür. O zaman tek bir zincire güvenmemek gerekir ... Mümkün olduğunca farklı önlemler alınmalıdır.

Çok Katmanlı Güvenlik

Çok Katmanlı Güvenlik Örneği Her alt katman da birçok katmandan oluşabilir.

Güvenlik ve kullanışlılık? Tabii ki karikatürdeki gibi olmamalıdır. Güvenlik önlemleri, sistemin kullanılmasını zor duruma getirmemelidir.

2. Neden Web Güvenliği ?

Web Tabanlı Sistemler Web (sunucu) kullanımı artıyor bilgi sistemleri, ağ cihazları ... Vb Web uygulamalarının ve bu ortamdaki bilginin artması Kurumun dünyaya açılan penceresi Hızlıca ve güvenlik düşünülmeden yapılan kurulumlar

Katmansal Web Güvenlik Yapısı

Web Uygulaması

En Yaygın Web Uygulama Zayıflık Sınıfları

Neden Web Güvenliği ? Web tabanlı saldırılar artmakta Zone-H – 400,000 (%36) artış (2004) CSI-FBI – “Computer Crime and Security Survey” – Ankete katılanların %95’i, 2005 senesinde 10 adetten fazla web sitesi saldırısı vakası yaşamış

Neden Web Güvenliği? (devam) Web güvenliği sağlanamadığında kayıplar: Maddi kayıp (Özellikle e-ticaret ile para aktarımı, banka uygulamalarında), Güven kaybı, Şirket verilerinin kaybı ile yaşanabilecek ticari risk, Kişisel bilgilerin gizli kalma hakkının ihlali, Ağda oluşabilecek zayıf noktadan kaynaklanabilecek diğer saldırılar.

Web Saldırı Örnekleri Sayfalar değiştirilir Sayfalar değiştirilmez, siteden bilgiler çalınır ve yöneticilerin haberi olmaz. Site kullanılarak kullanıcı bilgileri çalınmaya devam eder.

Güvenlik İhlalinden Sorumlu Kim? Ağ / ağ güvenliği yöneticisi? Sunucu - veritabanı Yöneticisi? Programcı Hiçbiri Hepsi

Web Güvenliğinde Temel Problemler Web güvenliğine yeterli önem ve dikkatin verilmemesi Geleneksel yöntemlerin yetersizliği Yetersiz web sunucu güvenliği Güvenli kodlama “secure coding” yapılmaması

Eğer bu kadar kötü yazılım güvenliğine sahip olmasaydık, bu kadar çok ağ güvenliğine ihtiyacımız olmayacaktı Bruce Schneier

Bir savaşı yenmek için, bireyin yöntemi bilmesi gerekir Sun Tzu Savaş Sanatı “The Art of War”

3. Kurumsal Web Güvenliği Modeli

Kurumsal Ağlarda Web Sistemleri Üniversite ağları gibi büyük kurumsal ağlarda, farklı ve çok sayıda web sistemleri, farklı ekipler bulunmaktadır. Güvenliğini sağlamak için Daha kapsamlı sistemler kullanılmalı Birbirleriyle etkileşimli çalışmalı

Kurumsal Web Güvenliği Modeli Standartlaştırma Güvenli Kodlama Sistem Farkındalığı Eğitim / Sınama Saldırı Saptama Saldırı Engelleme Kurtarma Eşgüdüm Merkezi

3.1. Standartlaştırma Politika tabanlı: Kullanım ve güvenlik politikaları Neye izin verilir, neye izin verilmez. Önerilen sistemin tanımlanması Şablonlar, iyi uygulama örnekleri, Güvenli Kodlama Belgeleme

3.2. Güvenli Kodlama Yazılım geliştirme yaşam döngüsü (SDLC) içerisinde güvenli kodlama yapılmalı ve zayıflık (vulnerability) testleri gerçekleştirilmeli Güvence (Assurance) Modelleri: Ex. OWASP Clasp, Microsoft SDL OWASP Güvenli Kodlama Belgeleri: http://www.owasp.org

Yazılım Geliştirirken Temel Esaslar Kullanıcı Görev/Yetki tanımlama Farklı güvenlik düzeyleri En az yetki Güvenli varsayılan ayarlar Kademeli savunma Önlemleri yalın tutmak Saldırı alanını azaltmak Güvenli düşmek

Güvenli Kodlama (devam) Girdi /çıktı denetiminin önemi Yazılım kütüphaneleri ve sınıfları güvenli kodlama esaslarına göre geliştirilmeli, Güvenli kodlamayı destekleyen geliştirme ortamları (Ör: Strutus)

Güvenli Kodlama (devam) Yeterince uygulanamamasının nedenleri Projeyi bitiş zamanına yetiştirme, Programcıların güvenli kodlama süreçleri hakkında yeterince bilgi sahip olmaması, Müşterinin, bu konudaki beklentisini / yaptırımını vurgulamaması. Mümkün olduğunca çok önem verilmelidir.

3.3. Eğitim / Test Çalıştay ve Çalışma Grupları Güvenli kodlama örnekleri ve saldırı senaryoları Eğitim Portalı Kurumun projeleri ile ilgili iyi uygulama örnekleri Kılavuzlar, standartlar

Eğitim / Test (devam) Test Sunucusu Kaynak kod analizi Kara kutu analizleri (kaynak koda ulaşmadan)

3.4. Ağ / Web Sistem Farkındalığı Sistemleri koruyabilmek için öncelikle korunması gereken sistemleri tanımak/tanımlamak gerekir. Ayrı bir bölüm olarak birazdan ayrıntıları verilecek ...

3.5. Saldırı Engelleme Ağ Tabanlı Erişim Denetimi Örn. Ağ güvenliği duvarı, yönlendirici erişim listesi Sunucu Yerel Güvenliği Örn. Mod Security Web Uygulama Güvenlik Duvarı / Ters Vekil Örn. Mod Security – Mod Rewrite

Ters Vekil Sunucu

3.6. Saldırı Saptama Saldırı Saptama Sistemleri Örn. Snort, Mod Security Günlük (Log) Dosyası Denetimi Saldırgan Tuzağı Ağları (Honeynet, Honeypot)

3.7. Kurtarma Sistem saldırıya uğradığında Acil Durum Planı var mı? Yedek sunucu ? Yedeklenen veriler ? Adli inceleme ihtiyacı ?

Kurtarma Aşamaları Sunucuya erişimin engellenmesi Ayrıntılı inceleme Saldırıların etkilerini temizleme Sistemi yeniden çalıştırma Kullanıcıların durumdan haberdar edilmesi Saldırganın saptanması

3.8. Koordinasyon Merkezi Çok katmanlı güvenlik yapısında güvenlik önlemlerinin aşağıdaki şekilde çalışmasını sağlayacak bir sunucudur (sistemdir): Birbirleriyle etkileşimli Etkin

4. Ağ / Web Sistem Farkındalığı

4. Ağ / Web Sistem Farkındalığı Saldırganı tanımak (?) Kendini tanımak, Değerleri, neyin korunması gerektiğinin tanımlanması Sistemleri saldırgandan daha iyi tanımak ...

Ağ / Web Sistem Farkındalığı(devam) Ağ Farkındalığı ağ üzerinde o an olmakta olanları bilme yeteneği Web Sistem Farkındalığı Web Altyapı Farkındalığı Zayıflık Testleri Sistem Takibi

Web Sistem Farkındalığı Web Altyapı Farkındalığı Sistemin güncel/anlık durumu hakkında bilgi toplamak Zayıflık Testleri Görünür/bilinir zayıflıkları öğrenmek Sistemi takip etmek Sistemin şu anki durumunu izlemek

Toplanması Hedeflenen Bilgiler Web sunucusu üçüncü katman adresleri (IP adresleri), Sunucu üzerindeki alan adları (Ör: internet.ege.edu.tr), Web servisi verilen ağ kapıları (80, 8080 …vb), Sunucu üzerinde çalışan işletim sistemi (Linux, Windows …vb), Web sunucu yazılım türleri ve sürümleri (Apache 2.0, IIS 6.0…vb),

Toplanması Hedeflenen Bilgiler (devam) Web uygulamalarının geliştirildiği programlama dilleri türleri (cgi, php, asp,.net, jsp …vb), Uygulama dosya adı, Uygulama çalışma yolu (dizin yapısı), Kullanılan değiştirgeler ve tipleri, Sistemlere ait saldırıya açıklık raporlarıdır

Bilgi Toplama Sistemleri Ağ kapısı ve uygulama tarayıcıları HTTP parmak izi alma sistemleri Ağ trafiği çözümleme sistemleri Saldırı saptama sistemleri Zayıflık (saldırıya açıklık) çözümleme sistemleri Arama motorları

5. Ulak-CSIRT Web Güvenlik Grubu Eğitim ve bilinçlendirme çalışmaları: çeşitli seminerler ve toplantılar Belgeleme Çalışmaları OWASP İlk 10 Web Güvenlik Açığı 2007 (tercüme) PHP Güvenlik Kitapçığı (hazırlanmakta)

Ulak-CSIRT Web Güvenlik Grubu (devam) Web Sistem farkındalığı ve eğitim konularına ağırlık verilmektedir. Merkezi Zayıflık tarama sistemi denemeleri Açık kaynak kodlu yazılımlar denenmektedir.

6. SONUÇ Kurumsal web güvenliği için, Web Güvenliği Modelindeki yöntemler uygulanmalıdır Kuruma uyan yöntemler seçilmeli Mümkün olduğunca fazla yöntem devreye alınmalı Her yöntem sistemi daha karmaşık hale mi getirir? Temel hedefler aşağıdaki gibi olmalı: Web sistem farkındalığı Web sunucu yöneticilerini ve programcılarını eğitmek/bilgilendirmek

Sonuç (devam) Sistemler saldırı tespit sistemleri ile takip edilmelidir Web sunucuları önüne web güvenlik duvarı konuşlanmalıdır. ULAK-CSIRT Web Güvenliği Çalışma Grubu bünyesinde bilinçlendirme çalışmaları ve OWASP-TR ile işbirliği devam etmesi hedeflenmektedir

Sonuç (devam) Bu sunum ve “Kurumsal Web Güvenliği Altyapısı” belgesi (yakında) http://www.karaarslan.net/guvenlik.html Web Güvenliği Belgeleri: http://www.webguvenligi.org http://websecurity.ege.edu.tr http://csirt.ulakbim.gov.tr/belgeler

Değişim zordur, açık fikirli olmalı ... Önyargıları yok etmek, atom çekirdeğini parçalamaktan daha zordur. Einstein

İlginiz için teşekkürler ... Sorularınızı bekliyorum ... İletişim: csirt@ulakbim.gov.tr info@karaarslan.net ULAK-CSIRT http://csirt.ulakbim.gov.tr/eng