Bilişim Güvenliği

Çalıştığınız yerin bilgi güvenliğini sağlamak isterseniz işte bazı yöntemleri.

Merhabalar,

Size bilişim güvenliği ile ilgili bir yazı sunmak ve “en güvenli bilgisayar kapalı olan bilgisayardır” mesajını vermek istiyorum…. Yazıyı okuduğunuzda ne demek istediğimi daha iyi anlayacağınızı sanıyorum ….  Şaka bir yana, yazımıza bakıp, güvenlik de ne zor işmiş demeyin, güvenlik yöntemleri ve saldırıları ile ilgili genel bilgi verebilmek için bir çok kavramı aynı anda bir araya topladık…

Aşağıdaki yazımızda, kurgu yapılarak çeşitli özellikleri verilen bir ABC üretici firmanın bilişim yapısı ve güvenlik uygulamaları ile ilgili bazı senaryolar ve öneriler bulacaksınız..  Bu firmanın bilişim sistemlerinin güvenliği ile ilgili çeşitli çekinceleri bulunduğunu ve sizin de bu güvenlikten sorumlu kişilerden birisi olduğunuzu düşünün… Biz böyle düşünerek, ABC firması için bir sistem ve güvenlik analizi yaptık… Elde ettiğimiz sonuçlara göre çözüm önerilerimizi ana hatları ile sıraladık. Bakalım okuduğunuzda “ben olsam böyle yapardım” şeklinde kaç yorumunuz olacak  ..

Öncelikle önereceğimiz güvenlik uygulamalarını planlamak üzere analizini yaptığımız ABC Firmasının fiziksel ve personel yapısını  kısaca tanıyalım ;

•  ABC Firması bir üretim fabrikası ve 9 farklı noktada dağıtım merkezleri bulunan bir tekstil şirketidir. Ayrıca 2 farklı noktada yarımamül üretim tesisi bulunmaktadır.

•  Fabrika merkezde, İdari, Ambar, İşletme ve Üretim Binası olmak üzere 4 ayrı bina bulunmaktadır.

•  Fabrikada 128 bilgisayar kullanıcısı vardır. Bu kullanıcılardan 25 tanesi mainframe (AS/400) sistemine terminal (akılsız terminalJ) ile bağlanmaktadır. Diğerleri PC kullanıcısıdır, gerek AS/400 sistemine gerekse MS Network e PC ler ile bağlanmaktadırlar…

•  Dağıtım merkezleri ve yarımamül üretim merkezlerinde toplam 80 PC kullanıcısı vardır.

Sanırım gözünüzde bir kurum canlanmaya başlamıştır.. Firmanın Network yapısını analiz ettiğimizde ise aşağıdaki sonuçlara ulaştık ;

•  Fabrika, dağıtım tesislerine VSAT UYDU ile bağlantı kurmaktadır. İşnet tarafından kurulum ve destek hizmeti verilen bu WAN yapısının, dağıtım tesislerine açılan 9 ayrı LAN kapısı vardır.

•  Fabrikadaki kullanıcılar VSAT UYDU bağlantısı olmayan 2 farkli noktadaki yarımamül üretim yapan tesislere VPN bağlantısı ile erişmektedirler.

•  Fabrikada ve Dağıtım Tesislerinde (her bir LAN’da birer tane ve bir tane de fabrikada olmak üzere) toplam 10 Adet Windows 2003 Admin Server, 10 Adet Windows 2003 Exchange Server, 10 Adet ISA Server 2004 bulunmaktadır.

•  Ayrıca Fabrikada 1 Adet IBM AS/400 Mainframe Server bulunmaktadır.

•  LAN’lar WAN Ağı’na SKY EDGE RECEIVER’lar ile bağlanmaktadır.

•  Yarımamül üretim tesislerinden Fabrika’ya VPN bağlantısı AIRTIES VPN MODEM ile yapılmaktadır.

•  Dağıtım tesislerinde ve yarımamül üretim tesislerinde yerel yapıda kullanıcılara dağıtım ise 3COM Switch’ler ile YILDIZ TOPOLOJİ kullanılarak yapılmaktadır.

•  Kullanıcılarda Windows XP İşletim Sistemleri, Office XP ve 2000 paket yazılım uygulamaları kullanılmaktadır.

•  Kullanıcılar IBM AS/400 Server’ına IBM Client Access yazılımı ile bağlanmaktadırlar.

•  Fabrika Internet’e 2 Mbit/Bps ADSL bağlantısı ile açılmaktadır.

•  Ayrıca tüm dağıtım ve yarımamül tesislerinde 2 Mbit/Bps ADSL bağlantısı mevcuttur.

•  Fabrikada Wireless bağlantı da kullanılmaktadır.

•  Fabrika’nın network alt yapısında, cat 5 ve fiberoptik kablo kullanılmıştır.

•  Fabrika’nın idari binası ile Ambar Binası ve İşletme Binası arasında fiberoptik kablo kullanılmıştır. Ve bu binaların girişlerinde de 3COM SWITCH’ler mevcuttur.

•  İşletmede yerel kullanıcılar Microsoft EXCHANGE SERVER üzerinden mesajlaşma işlemini yürütmektedirler. Dışarıdan gelen ve gönderilen mailler için POP3 ve SMTP hizmeti DOĞAN ONLINE tarafından verilmektedir.

•  INTERNET SİTESİ için dışarıdan bir firmadan hizmet alınmaktadır.

Böyle de bir dağınık yapı ki sormayın gitsin J..  Peki ne tip güvenlik önlemleri alıyorlarmış ona bir bakalım ;

• 1- ISA 2004 aktif edilmiş ancak güvenlik ayarları yapılmamış, tüm ayarlar default değerlerinde kullanılmaktadır.

• 2- Server tabanlı bir anti virüs programı olarak CA E-TRUST kullanılmaktadır. Ancak kullanıcılarda otomatik kurulum ayarlanmadığından bazı kullanıcılarda CA E-TRUST kurulumu gerçekleşmemiştir.

• 3- Switch’ler her porta bir MAC adresi gelecek şekilde yapılandırılmıştır.

Pek de güvenlik var diyebilmek mümkün gözükmüyor değil mi ..  O zaman biz birkaç güvenlik önerisinde bulunarak, kurum çalışanlarının biraz rahat nefes almalarına yardımcı olalım ne dersiniz ;

• 1- Kullanıcılara birer network şifresi verilerek, şifrelerini 7 günde bir değiştirecekleri şekilde login ayarları yapılmalıdır.

• 2- Zor kuvvet kullanarak parola kırılmasına karşı, parola girme sayısını kısıtlayarak belli bir deneme sonrasında hesap kilitlenmesine sebep olma yoluyla bir güvenlik önlemi sağlayabiliriz. AS/400 kullanıcıları için de böyle bir güvenlik önlemi alınabilir. Bu şekilde yapılan saldırı sonucunda şifre deneme sayısı geçildiğinde hem saldırının yapıldığı ekran hem de şifresi denenen kullanıcı ismi kilitlenmektedir. Ve işletim sistemi yöneticisine bir mesaj ile bu durum bildirilmektedir.

• 3- Kolay tahmin edilemeyecek şifreler seçilmelidir

• 4- Veritabanından bilgi çalınmasına karşı, authentication ve firewall kullanmak gerekir. İşletmede MS SQL server söz konusu olduğundan, server’a erişimde Windows Integrated Authentication ile birlikte firewall ile veritabanına erişimi kısıtlamak gerekir.

• 5- İşletmede HUB kullanılmadığından IP ve MAC Tabanlı Koklama Saldırılarından ziyade, ARP Tabanlı Koklama Saldırılarına karşı, Ağ Yöneticilerine Yönelik Paket Koklayıcılar kullanılarak, Ağ Trafik Analizi yapılabilir ve Ağ Performansı takip altına alınabilir. Ağa aşırı sayıda paket göndermek suretiyle Switch’i etkisiz hale getirmek isteyenlerin bu saldırılarını farketmemizi sağlayan ve ağa zorla girmek isteyen kişilerin de raporlandığı bu koklayıcılar ile ağ takip altına alınabilir.

• 6- Statik ARP tabloları kullanmak, Switch’lerde her porta bir MAC adresi eşleşmesini sağlamak ve Swtich’leri tablo taşmalarından korumak gerekmektedir.

Bu durum işletmede sağlanmaktadır.

• 7- DHCP ile kullanıcıların otomatik IP almaları yerine, kullanıcılara statik IP verilmelidir. Bu yöntem IP Spoofing saldırıların karşı da bir önlem olarak düşünülebilir. Şirkette kullanılan SWITCH’lerin kalitesi güvenlik için uygundur .

• 8- Virüs saldırılarına karşı hem ağın girişinde, hem de her cihazın üstünde yüklü antivirus yazılımlarının olması yeterli bir güvenlik önlemi olacaktır. Anti-Virüs sistemleri, tüm istemci ve sunucuları koruyacak şekilde kullanılmalıdır.

• 9- Anti- Virüs programlarının güncellemeleri mutlaka kontrol edilmeli, kullanıcıların da bu programları aktif olarak kullanıp kullanmadıkları kontrol altında tutulmalıdır.

• 10- Anti-spam yazılımı kullanılması da gerekmektedir. Ayrıca kullanıcılar mail yoluyla yapılan saldırılara karşı biliçlendirilmeli ve şüpheli maillerin açılmaması konusunda bilgilendirilmelidir.

• 11- Sanal Yerel Ağ (VLAN) yapısı kurularak, bölümlere göre yetkilendirme yapılmalı, ayrıca bu sayede ağın daha verimli kullanılması sağlanmalıdır.

• 12- Ortadaki Adam Saldırıları kaliteli bir switch kullanmanın yanında, Antisniffer programları kullanılabilir. Ayrıca Ortadaki Adam Saldırısını engellemenin bir yolu da dijital imzaları kullanabilen bir açık anahtar kriptosistemi kullanmaktır.
  Kimlik belirleme ve anahtar yönetimi yanında, veri gizliliği, veri bütünlüğü sağlamaya da yönelik olan IPSec (Internet Protocol Security) Protokolünü kullanmayı düşünebiliriz.

• 13- Sosyal mühendislik yöntemi ile toplanmaya çalışılacak işletmeye ait değerli bilgilerin ele geçirilmesini önlemek için her şeyden önce personelin bu konuda eğitilmesi ve bilinçlendirilmesi gerekmektedir. Hangi bilginin kiminle paylaşılabileceği, bazı durumlar için yazılı olarak dikte edilebilir. Kimlik doğrulaması yapmadan telefonda ve mesaj ile şirkete ait bilgilerin verilmemesi konusunda talimatlar yayınlanmalıdır. Sayısal imza uygulaması, online bilgi paylaşımında bulunduğumuz kişilerin kimliklerinin belirlenmesi açısından burada da önem kazanmaktadır.

• 14- Sosyal mühendislik konusunda alınacak önlemlerden bir diğeri de şirkete ait kağıt atıkların ve özellikle bilgi işlem merkezinden çıkan atıkların iyice imha edildikten ve okunmaz hale getirildikten sonra çöpe atılması sağlanmalıdır. Bunun için kağıt öğütme makinesi kullanılabilir.

• 15- Uygulamaların yeni sürümlerini kullanmak, yayınlanan tüm yamaları uygulamak gerekmektedir.

• 16- VPN yapısında Intranet bağlantıları için sistemdeki mevcut Authentication (kişilik belirleme) yöntemi yeterli olmaktadır. Extranet bağlantısı ile işletmenin mainframe sistemine ulaşacak kullanıcılar için bir RAS ve bir AAA server gereklidir. Bunun için Windows’un RAS yazılımı ile birlikte bir RADIUS server kullanılabilir.

• 17- İşletmenin VPN Tünelleme Senaryosu GEÇİTKAPISINDAN GEÇİTKAPISINA TÜNELLEME Senaryosuna uygun olmaktadır. VPN tünel geçitkapıları veya VPN yönlendiriciler ile IP ADRES YANILTMA problemleri önlenebilir. Microsoft PPTP Tünelleme Protokolünü desteklediğinden, PPTP ile kendi RAS yazılımı ile birlikte VPN Tünelleme işlemi gerçekleştirilerek, Internet Saldırılarına karşı güvenlik önlemi oluşturulur.

• 18- Authorization (yetkilendirme) konusunda ise Windows 2000 Server Active Directory kapsamında yetkilendirme ayarları yapılmalıdır. Active Directory bölümünde kullanıcılar açılmış ve her kullanıcı için eşit yetkilendirme ayarlar yapılmıştır. İşletmenin farklı bölümlerine göre gruplar açılmalı, kullanıcılar bu gruplarda tanımlanmalı ve gruplara fonksiyonlarına göre değişik seviyelerde yetkilendirme verilmelidir. Group Policy ayarları ile departmanlara değişik seviyelerde yetkilendirme verilmelidir.

• 19- İç ağdan gelecek saldırılara karşı alınabilecek önlemleri şöyle sıralayabiliriz ;

• a) Ağ kaynaklarına erişim kısıtlanmalıdır.
• b) Kullanıcıların bilgisayarlarındaki “tehlikeli” (şifre kırıcılar vs.) programlar tesbit edilmelidir.
• c) Kullanıcıların program yüklemesi kontrol altına alınmalıdır.
• d) Kullanıcıların MS Windows İşletim Sistemlerinin güvenlik duvarı ve otomatik güvenlik güncellemeleri ayarları açılmalı ve güvenlik güncellemeleri yapmaları sağlanmalıdır.
• e) Kullanıcılar güvenlik politikaları ve uygulamaları konusunda eğitilmelidir.
• f) Doğrulama bilgilerinin (şifre, dosyalar vb.) istemci sisteminde tutulmasını engellemek gerekmektedir.

• 20- Kullanıcılar ve Server için günlük YEDEKLEME yapılmalıdır.

• 21- FİZİKSEL GÜVENLİK konusunda alınabilecek önlemleri şu şekilde maddeleyebiliriz ;

a) Sistem ve  yedekleme ünitelerinin bulunduğu sistem odasına ve sistemle ilgili değerli materyallerin saklandığı kasanın bulunduğu ortama kullanıcıların girişleri engellenmelidir. Bu bölüme girişin akıllı kart uygulaması ile yapılması sağlanmalıdır.

b) YANGINDAN KORUNMA : Yangın alarmı , yangın algılama ve ihbar sensörleri olmalıdır .  Duvarlar yangına dayanıklı ve alev yavaşlatıcı boya ile boyanmalıdır .  Döşemeler yangına dayanıklı ve yangın kesici malzemeden yapılmalıdır. Gazlı yangın söndürme yöntemleri uygulanmalıdır .  Yangın söndürme tüpü bulundurulmalıdır . Bilgi işlem merkezlerinin kendine ait ayrı bir yangın çıkışı bulunmalıdır .

c) ELEKTRİK : Aşırı ve şok akımlara karşı güvenlik tedbirleri alınmalı , yüksek akım çeken cihazlar ile sistem cihazlarının aynı hattan beslenmemesine dikkat edilmelidir . Güç ve bağlantı kablolamalarında ayrı sigorta sistemleri kullanılmalıdır .

d) UTP / Fiber sonlandırma olmalıdır .

e) TOPRAKLAMA : Topraklama bilgi işlem merkezi için hayati konulardan biridir . Topraklama mutlaka yapılmalı ve gereken değerlerde olmalıdır .   Bilgi işlem cihazları için özel topraklama hattı çekilmesi gereklidir .

f) MANYETİK ALAN : Sistem bileşenlerinin manyetik alanlardan uzak tutulması gerekmektedir .

g) AFET VE TERÖR OLAYLARINA KARŞI KORUMA : Bilgi İşlem Merkezinin güvenliğini sağlamak için ilgili binaların duvarları bombalamadan etkilenmeyecek şekilde inşa edilmiş olmalıdır. Binalar depreme dayanıklı şekilde tamamen prefabrike betondan inşa edilmiş olmalıdır . Diğer doğal afetler için de gerekli önlemler alınmalıdır .

Yazımızı sonuna kadar okuyanlara teşekkür ediyor ve bir soru ile ödüllendiriyoruz .. Nasıl sizce verdiğimiz öneriler ile ABC Firmasının bilişim güvenliğini sağlayabilecekmiyiz …

Kendinizi güvende hissettiğiniz ortamlarda, nice başarılı çalışmalar dileğiyle..  Sağlık ve sevgiyle kalın..

Dilek KILIÇ

Bilgi Teknolojileri ve Eğitim Derneği

dilek.kilic@bilteder.org.tr

Kaynaklar :
http://www.bilgisayar.info/guvenlik-antivirus11.html
http://www.cert.org/
http://www.guvenlikhaber.com/
http://www.microsoft.com.tr/
http://www.olympos.org/
http://www.sans.org/
http://www.securecode.net/
http://www.securityfocus.com/
http://www.securityspace.com/
http://www.siyahsapka.com/