Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

SİBER GÜVENLİĞE GİRİŞ DR. TUĞRUL TAŞCI.

Benzer bir sunumlar


... konulu sunumlar: "SİBER GÜVENLİĞE GİRİŞ DR. TUĞRUL TAŞCI."— Sunum transkripti:

1 SİBER GÜVENLİĞE GİRİŞ DR. TUĞRUL TAŞCI

2 Ders Planı 8 1 9 2 10 3 11 4 12 5 13 6 14 7 Hafta Konu Başlığı
Siber Güvenlik Nedir? 2 Temel Ağ Kavramları 3 OSI Referans Modeli - Katmanlar 4 Bilgi Güvenliği Kavramları 5 Saldırı, Tehdit ve Açıklar Kısa Sınav – 1 6 Bilgi Güvenliği Yönetimi 7 Erişim Kontrolü Hafta Konu Başlığı 8 Güvenlik İşlemleri ve Yönetim 9 Denetim, Test ve İzleme 10 Ara Sınav ( Vize ) 11 Risk, Tedbir, Onarım, Değerlendirme 12 Kriptoloji ve Şifreleme 13 Sunucu Güvenliği 14 İşletim Sistemi ve Veritabanı Güvenliği Kısa Sınav – 2

3 Siber Saldırı (Cyberattack)
Siber saldırı bilgi sistemlerine yönelik kasıtlı, kötü niyetli ve yetkisiz erişim olarak tanımlanır. Siber saldırı, bilgi sistemi işleyiş süreçleri ve verilerini değiştirmek veya yok etmek amacıyla zararlı yazılımların işletilmesi eylemidir. Siber saldırı aşağıdaki sonuçları ortaya çıkarabilir: Kimlik bilgisi hırsızlığı, hilekarlığı Zararlı yazılımların bilgi sistemi içine yerleşmesi Bilgi sistemi hizmetlerinin işleyemez hale gelmesi Güvenlik açıkları Şifre / Parola ele geçirilmesi Gizli ve özel bilgilerin / değerlerin ele geçirilmesi

4 Siber Saldırıları Karşılaştırma Grafiği

5 Saldırıların Neden Yapılıyor?

6 Saldırılar Kimleri Hedefliyor?

7 Saldırılarda Kullanılan Teknikler

8 Siber Güvenlik (Cybersecurity)
Bilgi Teknolojileri Güvenliği olarak da adlandırılan Siber Güvenlik, kötü niyetli ya da yetkisiz bir şekilde bilgi sistemlerine yönelik erişme, değiştirme ve yok etme girişimlerini önlemek amacıyla bilgisayarlar, bilgisayar ağları, yazılım programları ve verileri koruma altına almak için uygulanan tüm güvenlik tedbirleri olarak tanımlanır.

9 Siber Güvenlik Neden Önemli?
Siber saldırılar, Ülkelerin çeşitli konulardaki siyasi duruşlarının tespit edilmesi, Askeri ve gizli bilgilerinin elde edilmesi, Borsa ve ekonomilerine zarar verilmesi, Ulusal güvenliklerine karşı tehdit oluşturulması, gibi yollarla ülkeleri var olma ve ekonomik / siyasi / askeri olarak güçlü olma hedeflerinden saptırıyor.

10 Siber Güvenlik Neden Önemli?
Ocak 2015’ te Dünya Ekonomik Forumu – World Economic Forum (WEF) tarafından yayınlanan Global Risks 2015 raporuna göre dünya genelinde şirketlerin % 90’ ı kendilerinin siber saldırılara karşı yeterli korumaya sahip olmadığının farkında. Siber saldırılar, Şirketlerin hizmetlerini aksatarak ya da durdurarak, Ticari sırlarını ele geçirerek ( Ürün fiyat politikalarını öğrenerek ) Marka ya da imajlarına zarar vererek şirketleri ticari olarak çok zor durumda bırakıyor.

11 Siber Güvenlik Neden Önemli?
Siber saldırılar, Kişilerin kimlik bilgilerinin çalınması ve kötüye kullanılması, Özel ve gizli bilgilerinin deşifre edilmesi, Hesap bilgilerinin / değerli varlıklarının çalınması, Kullandığı sistemlerin düzgün işleyemez hale getirilmesi, gibi yollarla kişilerin hak ve hürriyetlerini tehdit ediyor.

12 Dersin Amacı Siber güvenlik ile ilgili temel kavram ve teknolojileri öğrenmek Siber saldırılarda kullanılan yöntemler hakkında bilgi edinmek Bilgi / Bilişim Sistemlerinin bileşenlerini tanımak Bilgi / Bilişim Sistemlerindeki Tehdit ve Açıklar hakkında bilgi edinmek Bilgi / Bilişim Sistemlerinde Güvenlik Yönetimini anlamak

13 Bilginin Üç Temel Özelliği
Erişilebilirlik (Availability) Bilgi yetkili kullanıcı için istediği zaman erişilebilir olmalıdır. Bütünlük (Integrity) Bilgi yalnızca yetkili kullanıcı tarafından değiştirilebilir olmalıdır. Gizlilik (Confidentiality) Bilgiyi yalnızca yetkili kullanıcı görebilmelidir. Erişebilirlik Up-time, Down-time Bütünlük Veri ve bilgi değerlidir. Copyright, Patent, Gizli Formül, Müşteri Veritabanı Sabotaj ve veri bozulması önemli bir tehdittir. Gizlilik Bireylere ait bilgiler (Tıbbi kayıtlar, mal varlıkları) İşletmelere ait varlıklar (Patent, Özel formüller) Ülkelerin ulusal güvenliğine ilişkin bilgiler

14 Bilgi Güvenliğini Sağlayıcı Önlemler
Çalışanlar için güvenlik farkındalığı eğitimi Bilgi güvenliği uygulama esasları (yönerge, prosedür, kılavuz) oluşturma Bilgi altyapısı için katmanlı bir güvenlik sistemi oluşturma Periyodik sızma testleri yaptırma Giren/çıkan veri trafiğini izleme Anti-virüs ve zararlı yazılım önleyici çözümler kullanma Kullanıcı adı ve parola dışında farklı erişim kontrolleri kullanma Uygulama yazılım açıklarını minimize etme, bunları güncel tutma Veri sınıflandırma standardı oluşturma ve uygulama Gizli bilgiler için şifreleme teknikleri kullanma Gizli bilgilere erişimi kısıtlama

15 IT Altyapısı Güvenlik Katmanları
Kullanıcı İş İstasyonu LAN LAN-WAN WAN Uzak Erişim Sistem ve Uygulama IT Altyapısı Güvenlik Katmanları Bilgi/Bilişim sistemi altyapısı tipik olarak 7 katmanlı güvenlik gerektirir Her bir katman bilgiye ilişkin erişilebilirlik, bütünlük ve gizlilik gereksinimlerini karşılayacak güvenlik kontrollerine sahip olmalıdır.

16 Bilgi Güvenliğine İlişkin Tanımlar
Yönerge(Policy) Bilginin korunmasına yönelik olarak güvenlik açıkları, sorumluluklar, korunacak bilginin mahiyeti ve yapılması gerekenleri içeren ifade. Yönerge, kanun ve yönetmeliklere uygun olmalıdır. Microsoft AUP - Çevrimiçi Hizmetler Standart (Standard) Belli bir teknoloji, donanım ve yazılım ya da bunlarla ilgili uygulamalarda desteklemesi gereken asgari özellikleri içeren belge. Şifre uzunluğu en az 8 olmalı, en az 1 büyük harf, 1 küçük harf ve 1 özel karakter içermelidir. Kılavuz (Guideline) Belli işlemlerin nasıl yapılacağı ile ilgili olarak uygulayıcılara yardımcı olacak tavsiyeleri içeren belge. Şifrenizi 3 ayda bir değiştiriniz. Prosedür (Procedure) Yönerge, standart ve kılavuzların uygulamalarını adım adım ve detaylı şekilde içeren belge. Microsoft Windows 10 - Şifre Sıfırlama Protokol (Protocol) Bilgisayar ya da ağa bağlı diğer cihazlar arasında veri iletimi yapabilmek için gereksinimleri tanımlayan kurallar topluluğu. FTP, HTTP, TCP/IP Hizmet Sözleşmesi ( Servis Level Agreement – SLA) Bir hizmetin veriliş şartlarının ne olduğunu tanımlayan ve müşteri ile servis sağlayıcı tarafından karşılıklı olarak imzalanan belge. Microsoft Office Hizmet Sözleşmesi

17 Kullanıcı Alanı (User Domain)
Kullanıcı alanı katmanlı bir güvenlik stratejisi için savunmanın başladığı ilk katmandır. Kullanıcılar yetkilerine ve erişim haklarına bağlı olarak sistemlere, uygulamalara ve verilere erişebilir. Çalışanlar kullanıcı kılavuzları ve yönergelere uymalıdır. Kuruluşlar çalışanlarının, ortaklarının ve diğer 3.parti kişi ve kurumların bilgiyi gizli tutmaları için bir sözleşme imzalamalarını gerekli görebilir.

18 Kullanıcı Alanı – Sorumluluklar
Kullanıcılar kullandıkları IT bileşenlerinden sorumludur. İlgili departman ya da insan kaynakları yöneticisi çalışanların güvenlik sözleşmesi imzalamasını sağlar ve bu sözleşmeye uyup uymadıklarını kontrol eder. İnsan kaynakları departmanı, kuruluşun bilgisayar sistemini kullanmadan önce kişinin/çalışanın kimliğini doğrulamalıdır. İnsan kaynakları departmanı, kritik pozisyonlara aday olan kişilerin geçmişini kontrol etmelidir. İnsan kaynakları departmanı, kullanıcı kılavuzları ve yönetmelikleri güncel tutmalıdır.

19 Kullanıcı Alanı – Riskler, Tehditler, Önlemler
Farkındalık eksikliği Farkındalık eğitimi için anket düzenleme Sık kullanılan yerlere hatırlatıcı afiş / poster asma Hatırlatıcı e-postalar gönderme Kullanıcıların kurallara karşı ilgisizliği Yıllık olarak güvenlik farkındalığı eğitimi düzenleme Yönergeleri uygulama Performans mülakatlarında konuyla ilgili konuşma Güvenlik kuralları ihlalleri Çalışanları izlemeye alma Kullanıcıların kişisel verilerini USB sürücülerde saklaması USB portlarını kullanılamaz hale getirme Sürücüler, dosyalar ve e-posta eklentileri için otomatik anti-virüs tarama Risk Önlem Kullanıcıların resim, müzik ve video indirmesi E-posta eklentileri için içerik filtreleme ve anti-virüs taramayı aktif etme Belli alan adlarına erişimi engelleme Kullanıcıların sistemlere zarar vermesi Kişilerin sadece kendi işlerini yapmak için sisteme erişmesine izin verme Yazma/silme haklarını sadece sahibi olacak şekilde kısıtlama Halinden memnun olmayan çalışanın sabotaj yapabilmesi Sıra dışı çalışan hareketlerini izleme ve gözleme Dengesiz performansları ve IT altyapısının çalışma saatleri dışındaki kullanımını izleme IT erişimi kilitleme işlemine başlama Çalışan şantajı ve dolandırıcılığı / hırsızlığı IT altyapısının çalışma saatleri dışındaki kullanımını izleme ve gözleme Kritik pozisyonlar ve erişimler için IDS/IPS sistemlerini devreye alma

20 İş İstasyonu Alanı (Workstation Domain)
Verimli olabilmek için bir kuruluş çalışanın bağlanması gerekir. Tanımlanmış standartları zorlamak iş istasyonları ve verilerin bütünlüğü için kritiktir. İş istasyonu alanı ilave savunma uygulamalarına ihtiyaç duyar. Bunlardan bir tanesi kullanıcı adı ve paroladır.

21 İş İstasyonu Alanı – Sorumluluklar
Masaüstü destek grubu iş istasyonu alanından sorumludur. İnsan kaynakları departmanı, çalışanların yaptıkları işe göre erişim yetkilerini belirlemelidir. IT güvenlik personeli yetkilere göre siteme, uygulamalara ve verilere erişim haklarını tanımlamalıdır. IT masaüstü yöneticisi, çalışanların iş istasyonu alanını en iyi şekilde kullanmasından sorumludur. IT güvenlik yöneticisi, iş istasyonu alanının kurallara uygunluğunu temin etmekle sorumludur.

22 İş İstasyonu Alanı – Riskler, Tehditler, Önlemler
İş istasyonuna yetkisiz erişim İş istasyonlarına kullanıcı adı parola koyma Aktif olmayan zamanlarda ekran kilitleme Sistemlere, uygulamalara ve verilere yetkisiz erişim Katı erişim yönergeleri, standartları, prosedürleri ve kılavuzları tanımlama Kullanıcının bağlantı yapabilmesi için ikinci seviye bir kontrol yapma İş İstasyonu işletim sistemlerinin açıkları İş istasyonu işletim sistemi açıkları için bir yönerge tanımlama İşletim sisteminin açıklarını periyodik olarak test etme İş İstasyonlarında kurulu uygulamaların açıkları İş istasyonu üzerinde çalışan uygulamaların açıkları için bir yönerge tanımlama Uygulama güncellemeleri ve güvenlik yamalarını yönergelere göre yapma Risk Önlem Zararlı yazılımların iş istasyonuna bulaşması Virüs, zararlı kod ya da yazarlı yazılımlar için yönerge oluşturma Otomatikleştirilmiş bir anti-virüs çözümü kullanma İş İstasyonlarına USB disk vb. bağlanması Bütün CD/DVD ve USB portlarını pasif hale getirme Takılan sürücüler için otomatik virüs taraması yapma Kullanıcıların veri/uygulama indirmesi Internet erişiminde içerik filtreleme kullanma İş istasyonlarını yeni dosyalar için otomatik tarama Şüpheli dosyaları karantinaya alma Kuruluş güvenliğinin riske atılması Yıllık güvenlik farkındalık eğitimlerine katılımı zorunlu hale getirme Yıl içinde güvenlik farkındalığı eğitimleri için programlar düzenleme

23 Yerel Alan Ağı Alanı (LAN Domain)
Yerel alan ağı birbirlerine ortak bir iletişim ortamı vasıtasıyla bağlanan bir bilgisayar topluluğudur. Ağ bağlantı ortamları kablolar, fiber- optik bağlantılar, radyo dalgaları olabilir. Kullanıcılar yerel ağdan kuruluş bünyesindeki sistem, uygulama ve verilere ulaşabilirler. LAN alanı güçlü güvenlik ve erişim kontrolüne sahip olmalıdır. Yerel ağ, bilgi güvenliğinin 3. savunma katmanıdır.

24 LAN Alanı – Fiziksel Bileşenler
Ağ ara birim kartı (NIC): LAN içindeki bilgisayarların iletişim kurduğu ara yüz NIC kartı 6 byte’lık MAC adresiyle tekil bir donanım tanımlayıcısıdır. Ethernet LAN: IEEE standardına uygun LAN çözümü. En popüler LAN standardı Günümüzde 10Mbps, 100Mbps, 1Gbps, ve 10Gbps hızları destekleyebiliyor. Kablolama Yerel ağ switch cihazına RJ-45 konektörler ile bağlanılır. Dosya ya da yazıcı sunucusu Veri ve dosya paylaşımı yapmayı sağlayan yüksek performanslı bilgisayar. Ağ yazıcısı LAN’daki bilgisayarların ortak bir yazıcıyı paylaşmasını sağlar. LAN Switch Switch bağlı cihazlar için ayrılmış bir LAN bağlantısı sunar Layer 2 switch MAC adresini inceler ve gerekli yönlendirmeyi yapar. Layer 3 switch ağ adresini inceler ve yönlendirme protokolüne bağlı olarak gerekli yönlendirmeyi yapar. Layer 3 switch router görevini de yapan bir cihazdır. Kablosuz erişim noktası Kablosuz LAN’lar için radyo alıcı-göndericiler(transceiver) IP paketlerini WLAN NIC’inden kablosuz erişim noktasına ulaştırırlar WAP WLAN sinyallerini mobil bilgisayarlara iletir. WAP LAN switchine kabloyla bağlanır. Ethernet siwtchlerinin LAN omurgasına 10Gbps bağlantı için modül destekleri vardır. Omurga bağlantıları için genellikle fiber-optik bağlantı kullanılır.

25 LAN Alanı – Mantıksal Bileşenler & Sorumluluklar
Sistem yönetimi Erişim kontrolü için kullanıcı adı parola bağlantıları kurulumu Klasör ve dosya servisleri Kullanıcıların paylaşabildiği sunucu ve klasörlerin hazırlanması Cihazların TCP/IP konfigürasyonunun yapılması Sunucu disk depolaması, yedekleme ve geri alma işlemleri Sanal LAN’ları oluşturulması Layer 2 ve Layer 3 switchler yardımıyla Ethernet portları fiziksel olarak farklı LAN’lara bağlı olsalar bile sanal bir LAN olarak tanımlanabilir. LAN alanında, ikinci seviye bir güvenlik kontrolü gerekebilir. LAN destek grubu LAN alanından sorumludur. LAN sistem yöneticisi, birimlerin dosya ve yazıcı sunucularını kullanıcıların erişimine uygun hale getirir. LAN yöneticisi, LAN alanındaki verinin bütünlüğünün sağlanmasından ve servislerin en iyi şekilde kullanılmasından sorumludur. IT güvenlik yöneticisi LAN alanının yönergelere uygun şekilde olduğunu onaylamalıdır.

26 LAN Alanı – Riskler, Tehditler, Önlemler
LAN’a yetkisiz erişim Tuvaletler, veri merkezleri ve bilgisayar odalarındaki kablolamanın güvenli olduğundan emin olma Uygun ID siz olmayanların içeriye girmesine engel olma Sistemlere, uygulamalara ve verilere yetkisiz erişim Katı erişim kontrolü kuralları, standartları, prosedürleri ve kılavuzları tanımlama Kullanıcının bağlantı yapabilmesi için ikinci seviye bir kontrol yapma LAN sunucusu işletim sistemi açıkları LAN sunucuları işletim sistemi açıkları için bir kural tanımlama İşletim sisteminin açıklarını periyodik olarak test etme LAN sunucusunda kurulu uygulamaların açıkları LAN sunucuları üzerinde çalışan uygulamaların açıkları için bir kural tanımlama Risk Önlem Kullanıcıların WLAN’dan yetkisiz erişim kazanması WLAN ağ anahtarı kullanma, kablosuz erişim için parola isteme WAP’lar üzerindeki yayın hizmetini kapatma WLAN bağlantısı için ikinci seviye bir kontrol yapma WLAN üzerinden iletilen verilerin gizliliğinin ihlal edilebilmesi Veri gizliliğini sağlamak için iş istasyonları ve WAP arasında şifreleme kullanma LAN sunucularının farklı donanım, işletim sistemi ve yazılımlara sahip olabilmesi LAN sunucu ve konfigürasyon standartları, prosedürleri ve kılavuzları uygulama

27 LAN  WAN Alanı (LAN-to-WAN Domain)
Bu alan IT altyapısında 4. savunma katmanıdır güvenli tutması en zor alandır. Kullanıcılara mümkün olduğu kadar yetki verilmesi ve aynı zamanda güvenliğin sağlanması durumu söz konusudur. LAN  WAN alanı internete bağlantısındaki risk ve tehditlerden dolayı katı güvenlik kontrollerine ihtiyaç duyar. IT güvenlik yöneticisi LAN  WAN Alanında güvenlik yönergeleri, standartları, prosedürleri ve kılavuzlarının uygulandığını teyit etmelidir. LAN  WAN alanı güvenlik uygulamalarının hem fiziksel bileşenlerini hem de mantıksal bileşenlerini içerir. Fiziksel bileşenler servise kolay erişim için yönetilebilmelidir. Internet herkese açıktır ve kolayca erişilebilir. Internet’teki trafiğin büyük kısmı metindir. Metin trafiği görülebilir ve iletişim özel (private) olmaktan çıkabilir.

28 LAN  WAN Alanı Ağ uygulamaları iki yaygın protokolü kullanır: TCP ve UDP Hem TCP hem de UDP uygulamayı ya da işlevi tanımlamak için port numaraları kullanır. TCP ya da UDP ile bir paket iletildiğinde port numarası paket başlığında görünür. Bu başlık paket hakkında bilgi verir. TCP/IP protokol ailesi, güvenlik bakımından sıkıntılı olduğu için bu aile protokolleri için güvenlik kontrolleri çok büyük önem arz eder. Port 20-21: FTP – Dosya transferi protokolüdür. FTP, TCP’yi bağlantı yönelimli veri iletimi için kullanır ancak veri metindir. Bağlantı yönelimli demek, bireysel veri paketleri numaralandırılır, ve alındığı bildirilir demektir. Port 69: TFTP – Dosya transferi için başka bir protokol. TFTP UDP’yi bağlantısız veri transferi için kullanır ve veri metindir. Bağlantısız iletim küçük dosyalar için hızlı erişimi sağlamak amaçlıdır ve paketlerin ulaşıp ulaşmadığı garanti edilmez. Port 80: HTTP – Web tarayıcı ve web sunucu arasındaki iletim protokolüdür ve metindir. Port 23: Telnet – Başka bir cihaza uzaktan bağlantı protokolü. TCP yi kullanır ve metin iletilir. Port 22: SSH – Uzak erişim için başka bir protokol. Veri şifrelemesi kullanılır.

29 LAN  WAN Alanı – Cihazlar & Uygulamalar
IP Router: IP yönlendirici Internet ile WAN arasında IP paketlerini iletmekte kullanılan cihazdır. Konfigürasyon işlemleri IP yönlendirme ve erişim kontrol listeleri(ACL) dir. IP Firewall: IP firewall, gelen IP paketlerini IP, TCP, ve UDP paket başlıkları için düzenlenmiş ACL tanımlarına bağlı olarak filtreleyen cihazdır. IDS/IPS: IP veri akışlarını inceleyerek sıra dışı durumlarda uyarı veren ya da yönergelere bağlı olarak trafiği engelleyen cihazlardır. DMZ: DMZ LAN  WAN alanında bir LAN segmentidir. Gelen ve giden IP trafiği için bir tampon bölge gibidir. Dışa açık sunucular (web, Proxy, e-posta) daha iyi izolasyon ve IP trafiğini izlemek için bu alana konumlandırılır. Proxy Sunucu: Proxy sunucu iş istasyonu ve dıştaki hedef arasındaki ara katman gibidir. Veri IT altyapısına girmeden önce analiz edilir ve izlenir. İçerik Filtreleme Sistemi: Bu uygulama içeriğin IT altyapısına girmesini engeller. DNS ad ve DNS adı içinde anahtar kelime filtreleme ile çalışır. E-posta İçerik Filtreleme ve Karantina Sistemi: Bu uygulama e-postaları ve bilinmeyen eklentileri blok edebilir. Internet Giriş/Çıkış Trafiğini İzleme Sistemi: Bu uygulama, erişilebilirliği maksimize etmek ve bağlantı hattının uygun kullanımını sağlamak için yapılır.

30 LAN  WAN Alanı – Riskler, Tehditler, Önlemler
Yetkisiz ağ dinleme ve port tarama IDS/IPS ile Dış cihazların LAN  WAN alanı içindeki Ping, ağ dinleme ve port tarama ile ilgili IP portlarını kapatma LAN  WAN alanına yetkisiz erişim IDS/IPS için katı erişim yönergeleri, prosedürleri ve kılavuzları tanımlama Gelen ve giden IP trafiği sıra dışılıklarını izleme, gerektiğinde engelleme IP router, firewall, ve diğer cihazlardaki işletim sistemi açıkları Ağ cihazlarının işletim sistemi açıkları için yönerge tanımlama Ağ cihazlarını güncel tutma ve güvenlik yamalarını yapma IP router, firewall, ve diğer cihazlardaki konfigürasyon hataları   İçeri girme testleri yapma, hataları düzeltme Uzak kullanıcıların erişim kazanması Kuruluşun veri sınıflandırmasını uygulamaya zorlama ACL içindeki IP’lerden dışarıya giden trafiği engelleme Eğer dışardan veri indirme oluyorsa gerektiği yerde şifreleme kullanma Kullanıcıların bilinmeyen kaynaklardan eklenti indirmesi Dosya transferi için izleme, tarama ve bildirim mekanizması kurma Kullanıcıların bilinmeyen kaynaklardan gömülü URL linkleri alması E-posta eklentileri için anti-virüs tarama ve karantina mekanizması kurma İçerik filtreleme kurallarına uygun olarak web sitesi erişimini engelleme Yerel kullanıcıların işlerine odaklanmaması, verimli olamaması DNS içerik filtreleme kullanma

31 WAN Alanı (WAN Domain) WAN alanı uzak bölgelere bağlantı yapılan alandır. Ağ maliyetleri düştükçe, kuruluşlar daha hızlı Internet ve WAN bağlantılarına sahip olmaktadır. WAN alanı 5. güvenlik katmanıdır WAN özel kullanıma tahsisli internet erişimi ve yönetilen hizmetler içerebilir.

32 WAN Servisleri Günümüzde servis sağlayıcılar aşağıdaki hizmetleri sunmaktadır: Optik Ağ Omurgası Özel optik omurga bağlantıları Uçtan Uca IP iletimi Servis sağlayıcının omurgasını kullanarak IP hizmetleri ve bağlantısı WAN Bulut Hizmeti MPLS WAN içerisinde sanal bağlantılar kurmak amacıyla başlık ve etiketler kullanan bir teknolojidir. Metro Ethernet LAN Bağlantısı Ayrılmış Internet Bağlantısı Kuruluşa özel bir geniş-bant internet bağlantısı 24/7/365 esasına göre ağ cihazlarının ve güvelik uygulamalarının yönetimi Hizmet seviyesinde sözleşmeler Aylık erişilebilirlik, paket kaybı ve problemlerin çözümü için geri dönüş zamanı garantileme gibi anlaşmalar

33 WAN Alanı Telekomünikasyon servis sağlayıcılar uçtan uca iletişim için WAN bağlantısı işini yapmaktadır. Servis sağlayıcılar öncelikle kendi ağ altyapılarını güvenli hale getirmelidir. Telekomünikasyon şirketleri müşterilerin IP trafiğini oluşturma ve iletme durumundadır. Kuruluşlar güvenlik kurallarını ve ihtiyaçlarını tanımlar servis sağlayıcıda bunları uygulamaya koyar. WAN iletişim servisi satın alan müşteriler anlaşmalarındaki şartları ve sınırlamaları gözden geçirmelidir. Kuruluşlar cihaz ve güvenlik yönetiminin nerde başlayıp nerde bittiğini anlamalıdır. WAN servis anlaşmalarındaki en kritik kısım, servis sağlayıcının problem çözmeyi nasıl sağlayacağı, ağ ve güvenlik yönetimini nasıl yapacağıdır. Kuruluşlar WAN altyapılarının yönetimini ve güvenliğini outsource etmişse bu servis sağlayıcı tarafından yapılmalıdır.

34 WAN Alanı – Bağlantılar, Uygulamalar
WAN iletişim bağlantıları: Kuruluşta sonlanan dijital ya da optik hizmet. Geniş bant bağlantıları örnekleri DS1 (1.544Mbps) - DS3 (45Mbps) OC-3 (155Mbps) - OC-12 (622Mbps) - OC-48 (2,488Mbps) IP Firewall Ağa gelen ya da giden trafik içindeki IP, TCP ve UDP paketlerini filtreleyen cihaz ve/veya uygulama. Firewall uygulamaları router üzerine ya da ayrı cihazlara kurulabilir. IP Router Konfigürasyonu WAN omurgasına ve uzaktaki bölgelerle iletişim için gerekli konfigürasyon IP Ağ tasarımı IP ağı şemasının mantıksal tasarımı. Ağ mühendisliği gerektirir. VPN Bir uç noktadan diğerine giden özel kullanıma tahsisli bir iletişim yoludur. Bir çok uygulamada, VPN tüneli şifrelenir. VPN tüneli uzak bir iş istasyonu ile VPN router’ı ya da güvenli tarayıcı ve SSL-VPN web sitesi arasında yapılabilir. MPLS VPN tünellerinden belirlenmiş uç noktalara hızlı transfer için IP paketlerini etiketler. Yönlendirme ve yol belirleme süreci dikkate alınmaz. SNMP Ağ İzleme ve Yönetimi: SNMP ağ cihazlarının izlenmesi, bildirimleri için kullanılan bir protokoldür. Router ve diğer cihazların bakımı Donanım ve firmware güncellemeleri, yeni işletim sistemi yükleme, router konfigürasyonu ve ACL düzenleme

35 WAN Alanı – Sorumluluklar
WAN alanı hem router ve diğer iletişim cihazlarının fiziksel ve mantıksal bileşenlerini içerir. IT altyapısındaki güvenli tutulması ikinci en karmaşık alandır. Kullanıcılara en yüksek düzeyde erişilebilirlik verilirken gelen ve giden trafiğin güvenliği sağlanmalıdır. Ağ mühendisi ya da WAN grubu, WAN alanından sorumludur. Kuruluşun IT ağ yöneticisi bakım, güncelleme ve teknik destek sağlamakla yükümlüdür. IT güvenlik yöneticisi WAN alanının güvenlik yönergeleri, standartları, prosedürleri ve kılavuzlarının uygulandığını denetlemekle yükümlüdür. Bazı kuruluşlar Internet’i WAN altyapıları olarak kullanır. Bu ucuz olsa da bütünlük, güvenlik ve erişilebilirlik problemleri yaşanabilir.

36 WAN Alanı – Riskler, Tehditler, Önlemler
Bağlanabilen herkese açık ve erişilebilir olma RFC 1087: «Ethics and the Internet» belgesine uygun bir yönerge kullanma Internet trafiğinin görülebilmesi VPN tüneli ya da şifreleme kullanmadan internet erişimini ya da özel iletişimi engelleme Veri sınıflandırma standardı uygulama Trafiğin gizli dinlemeye açık olması VPN tüneli, şifreleme ya da uçtan uca güvenli iletişim mekanizması kullanma Saldırılara karşı açık olması Firewall, IDS/IPS ve güvenlik izleme, karantina destekli DMZ uygulama Ping işlemlerini engellemek için Router ve firewall’lar üzerinde filtreleme Uygun filtreler için ISP ye bildirimde bulunma Risk Önlem Bilgi ve verinin bozulmasına karşı açık olması IP veri iletimini VPN’ler üzerinden şifreli olarak yapma Online ya da fiziksel olarak sistem yedekleri tutma ve geri alma TCP/IP uygulamalarının güvenli olmaması (HTTP, FTP, TFTP, …) Veri sınıflandırma mekanizması kullanma TCP/IP uygulamalarının verilere erişme biçimlerini düzenleme Şifreleme olmadan kritik veriler için TCP uygulamaları kullanmama Ağ yönetimi için kullanılacak olan SNMP ve TFTP için VLAN oluşturup izole etme Trojan, Solucan ve diğer zararlı yazılımla açık olması E-posta sunucu ve eklentiler için anti-virüs tarama ve karantina mekanizması kurma Çalışanlara güvenlik farkındalığı için tehlikeleri hatırlatmak için eğitim düzenleme

37 WAN Alanı – Riskler, Tehditler, Önlemler
WAN IP trafiğini aynı servis sağlayıcı altyapısı üzerinden götürme Veri iletiminde servis sağlayıcı altyapısında şifreli VPN kullanma Yüksek erişilebilirliğe sahip WAN servisi alamama WAN hizmeti erişilebilirliği için hizmet sözleşmesi yapma %100 erişilebilirlik gereksiniminde yedek Internet ve WAN bağlantılarını kullanma WAN erişim hızı ve performansını maksimize etme Uzak sistemlere bağlantıda WAN optimizasyonu ve veri sıkıştırma çözümleri kullanma SNMP uygulamaları (ICMP, Telnet, SNMP, DNS) WAN yönetimi için özel VLAN oluşturma Katı firewall erişim kontrolleri kullanma 24/7/365 esaslı bildirim Güvenlik işlemleri ve izlemeyi outsource etme

38 Bilişim Sistemi Güvenlik Yönetimi Şeması
İnsan Kaynakları Departmanı IT Güvenlik Yöneticisi IT Ağ Yöneticisi Ağ Mühendisi WAN Grubu LAN Yöneticisi LAN Ağ Yöneticisi LAN Destek Grubu IT Masaüstü Yöneticisi Masaüstü Destek Grubu Kullanıcı

39 Bilgi Güvenliğini Sağlayıcı Önlemler
Çalışanlar için güvenlik farkındalığı eğitimi Bilgi güvenliği uygulama esasları (yönerge, prosedür, kılavuz) oluşturma Bilgi altyapısı için katmanlı bir güvenlik sistemi oluşturma Periyodik sızma testleri yaptırma Giren/çıkan veri trafiğini izleme Anti-virüs ve zararlı yazılım önleyici çözümler kullanma Kullanıcı adı ve parola dışında farklı erişim kontrolleri kullanma Uygulama yazılım açıklarını minimize etme, bunları güncel tutma Veri sınıflandırma standardı oluşturma ve uygulama Gizli bilgiler için şifreleme teknikleri kullanma Gizli bilgilere erişimi kısıtlama


"SİBER GÜVENLİĞE GİRİŞ DR. TUĞRUL TAŞCI." indir ppt

Benzer bir sunumlar


Google Reklamları