ABSTRACT
ÖZET
1.GİRİŞ
2.NETWORK GÜVENLİĞİ
2.1.Asgari Güvenlik Seviyeleri
3.FIREWALLS (Ateş Duvarları)
SUBJECT
SECURITY OVER THE INTERNET
Keywords:SSl(Secure Socket Layer),SET(Secure Electronic
Transaction),gateway(geçit yolu),ISS(servis sağlayıcı)
ABSTRACT
While the internet has become widespread
and developed,it has brought radical changes at homes,schools,public
sectors,financial operations,shortly at all areas of life.Increasing the use of
the internet,lots of sectors like financial sectors move their commercial
operations to the internet.In this way,the anxiety about the circulation of
information in a network which is open to everybody has become discussed.
The security over the internet can be
examined in two main headlines:
1.The problems which can be
occured because of the software and the network substructure.In this
scope,ISS’s and sectors’to which you give your personal information environment
that they hide this information and their own security and risks and
precautions that they take while the computers are over the internet take
place.ISS’s,financial sectors,banks and sites that have to gain sensitive
information in order to give service(electronic commerce sites,and the sites
that give health consultation,etc.) are obliged to organize the substructure
that is needed to support the security of their customers’ personal
information.In order to protect their interior network to the risks that come
over internet, these organizations not only take traditional measures like in
company security procedures,authority and responsibility classes and
communication permission,detailed logging but also they take technologic
measures like firewall solutions and virus gateway solutions.Adding to
these,dependable organizations keep the most important information that is in
the database encoded and use them encoded in the company.
2.The risk of getting the
information and using it for bad purpose by appraising technical holes while
transferring the data over the internet
In the information that a common internet
user will be able to give,there can be his/her credit card information,username
passwords,address and telephone numbers that can be inadvisable for his/her own
security and privacy.This information is often opened to internet while
electronic commerce or financial operations(ex.individual banking) and the
probability of getting hold of appears.The sites that carry out electronic
commerce and financial operations are commonly dependable because they verify
the data transfer by encoding the data over the internet.Even the encoded
information is obtained for bad use while transferring over the internet,it is
supposed to be dependable since it takes time to break the code and it requires
a big deposit.For coding,commonly SSL(Secure Socket Layer) security standart is
used.Also,for providing security,a system called SET(Secure Electronic
Transaction) that increases the security much more is not commonly used.
KONU
İNTERNETTE GÜVENLİK
Anahtar Kelimeler:SSI( Secure Socket Layer),SET(Secure
Electronic Transaction),gateway(geçit yolu),ISS(servis sağlayıcı)
ÖZET
İnternetin hızla yaygınlaşması ve gelişmesi evlerde, okullarda, kamu kuruluşlarında, finansal işlemlerde, kısaca hayatın her alanında radikal değişiklikleri de beraberinde getirmiştir. Internet kullanımının artmasıyla beraber başta finansal kurumlar olmak üzere birçok kuruluş ticari işlemlerini Internet'e taşımaya başlamıştır. Böylece bilgilerin herkese açık bir ağ üzerinde dolaşmasının yarattığı haklı tedirginlik gündeme gelmiş, bu konu yoğun bir şekilde tartışılmaya başlanmıştır.
Internet'te güvenlik konusu
iki temel başlık altında incelenebilir:
1. Yazılım ve ağ altyapısından dolayı meydana
gelebilecek sorunlar
Bu kapsamda Internet'e bağlandığınız servis
sağlayıcıların ve kişisel bilgilerinizi verdiğiniz kurumların bu bilgileri
sakladıkları ortamlar ve iç güvenlikleri ile bilgisayarların Internet'e bağlı
oldukları sürede maruz kaldıkları riskler ve önlemler yer alır. ISS'ler,
finansal kurumlar, bankalar ve hizmet verebilmek için duyarlı bilgiler
toplaması gereken siteler (elektronik ticaret siteleri, sağlık danışmanlığı
hizmeti veren siteler vb.) müşterilerinden aldıkları kişisel bilgilerin
güvenliğini sağlamak için gereken altyapıyı oluşturmakla yükümlüdürler. Bu tür
kuruluşlar şirket içi güvenlik prosedürleri, yetki ve sorumluluk sınıfları ve
ulaşım izinleri, detaylı loglama gibi geleneksel tedbirlerin yanı sıra, kendi
iç ağlarını Internet yolu ile gelecek tehlikelere karşı korumak için firewall
çözümleri, virus gateway çözümleri gibi teknolojik önlemler de almaktadırlar.
Bunlara ilave olarak güvenilir kurumlar, veri tabanlarında tutulan bilgilerden
önemlilerini şifrelenmiş olarak tutmakta, bu bilgileri şifrelenmiş olarak
şirket içindeki işlemlerde kullanmaktadır.
2. Internet üzerinde veri akışı sırasında,
bilgilerin çeşitli teknik açıklar değerlendirilerek kötü amaçlı kullanım için
ele geçirilme tehlikesi
Genel bir Internet kullanıcısının verebileceği
bilgilerin arasında kendi güvenliği ve mahremiyeti açısından sakıncalı
olabilecek kredi kartı bilgileri, kullanıcı isimleri şifreler, adres ve telefon
numaraları bulunmaktadır. Bu bilgiler genellikle, elektronik ticaret veya
finansal işlemler (örneğin bireysel bankacılık) sırasında Internete açılır, ve
ele geçirilme olasılıkları belirir. Elektronik ticaret ve finansal işlemlerin
yürütüldüğü siteler Internet'ten bilgi alışverişini şifreleyerek
gerçekleştirdikleri için genel olarak güvenlidirler. Şifrelenmiş bilgi Internet
üzerinde iletilirken ele geçirilse bile, şifrenin kırılması çok büyük bir
yatırım ve oldukça uzun bir zaman dilimi gerektirdiğinden güvenli olduğu kabul
edilebilir Şifreleme amacıyla yaygın olarak SSL (Secure Socket Layer) güvenlik
standardı kullanılmaktadır. Ayrıca güvenliğin sağlanması amacıyla yaygın
olmamakla birlikte SET (Secure Electronic Transaction) protokolü adı verilen ve
güvenliği bir kat daha arttıran bir sistem de kullanılmaktadır.
1.GİRİŞ
Global Bilgisayar Ağı: Internet
- Hızla Büyüyen
ve interaktif haberleşmenin arttığı bir iletişim ortamı.
- Bu büyüme
beraberinde bir çok avantaj ve aynı zamanda bazı problemleride
getiriyor.
- Siz
Internetnet’te tüm dünyaya eriştiğiniz gibi diğer tüm internet
kullanıcılarıda sizin bilgisayarınıza erişebiliyor.
Kimler Güvenlik tehditi altında
- Kurumsal
bağlantı ile Internet’e bağlı ağlar.
- TCP/IP konuşan
ve servis veren bilgisayarlar (Serverlar)
- Dial up
bağlantı yapan client bilgisayarlar
Direkt Kurumsal Bağlantı
- Şirket LAN
(Local Area Network) veya LAN’larınız bir router üzerinden servis
sağlayıcı’ya bir WAN (Wide Area Network) bağlantısı ile bağlanıyor.
- Takip edilecek
iş listesi; Ip Number başvurusu, NIC, RIPE, Lokal ISPs, Autonomous System
Number (ASN) EGP ve BGP kullanan multi home bağlantılar için
Domain Name ve Ip Number seçimi
- Şirketiniz
için bir domain name belirlenmesi. Örnek: sirketismi.com.tr
- Kurumda
Internet’e bağlanması düşünülen bilgisayarların sayısının belirlenmesi.
- Gerekli sayıda
Ip adresi başvurusu yapılması. A,B, ve C Class adresler.
- Eğer Multi
home routing yapılacaksa autonomous system numarasının alınması.
Subnetting
- Kurum içindeki
organizasyonel ve topolojik yapıya göre gerekiyorsa “subnetting”
yapılması.
- Subnetting:
Bir network numarasından subnet (alt networkler) oluşturulması. Örnek:
212.12.128.0 C Class networkü ve subnet mask’ı 255.255.255.192 burada 4
adet subnet oluşturulmuş bir C Class network adresinden.
Internet Servis Sağlayıcı Seçimi
- Ne kadar
Bandwidth’i (Bant Genişliği) var.
- Redundancy
(Süreklilik için yedekleme) Örnek: Bir yerine iki ayrı hatla bağlantı.
- Internet’e
hangi noktalardan bağlanıyor.
- Fiyat,
Performans.
- Destek (7x24)
helpdesk olması.
Internet Routing ve Topology
- Internet
üzerinde farklı şekillerde routing mekanızları mevcut.
- Ayrıca static
veya dynamic routing yapmak mümkün.
- Interior
routing ve Exterior routing algoritmaları;
-
RIP
(Interior)
-
EGP,
BGP (Exterior)
- Autonomous
system number
- Eğer
Internet’e multiple gateway’ler üzerinden bağlanılıyorsa bu durumda
dynamic routing yapılması gerekir.
- Eğer kurum içi
bazı internal gateway’ler ve Internet için bir gateway varsa burda seçim
internal yoğunluğuna bağlı olarak yapılır. (Static veya dynamic)
TCP/IP Temelleri
- TCP/IP
(Transmission Control Protocol/Internet Protokol) Internet üzerinde
kullanılan komunikasyon protokolüne verilen addır.
- Tamamem açık
sistem mantığı ile geliştirilen bu protokol bir çok farklı donanım ve
yazılıma dayalı çalışan bilgisayarların birbirleri ile iletişimini
sağlayan önemli bir araçtır.
- Tamamem
donanım firmalarından bağımsız olarak 1969 da DARPA nın desteklediği bir
proje sonucunda geliştirilmiştir.
- Fiziksel ağ
yapısından bağımsızdır. Ethernet, Token ring, dial up telefon
bağlantıları, X.25, Frame Relay, Kiralık hatlar vs. Üzerinde
kullanılabilir.
- Basit aynı
zamanda ölçeklenebilir bir adresleme tekniği vardır. (IP adresing)
- Temel TCP/IP
prensiblerinin iyi anlaşılması Internet üzerinde güvenliğin iyi
anlaşılması için bir önkoşuldur.
- TCP/IP
Protokolü direkt olarak OSI 7 katmanlı ağ mimarisine bire bir uyum
göstermese bile bu yapıya benzer 4 katmanlı bir yapı ile tanımlanabilir.
|
4 Application Layer |
|
3 Host to Host Transport Layer |
|
2 Internet Layer |
|
1 Network Access Layer |
- Bu yapıda
uygulama ile ilgili data, uygulama katmanından ağ katmanına doğru
yönlendirilir.
- Her katman bir
sonraki katmana gerçek data ile kendi kontrol bilgisini gönederir. Bu
kontrol bilgisine “header” denir.
- Her katmanda
bu kontrol bilgisinin eklenmesi işine “encapsulation” denir.
- Ağ’dan data
geldiğinde bu işlemlerin tam tersi gerçekleşir.
- Network Access
Layer (NAL) TCP/IP protokolünün fiziksel ağlara bağlanmasını sağlayan
katmandır.
- NAL aslında
OSI modeldeki en alt üç katmana denk gelen bir katmandır.
- IP
adreslerinin fiziksel adreslere map edilmesi bu katmanda gerçekleşir.
Örneğin: ARP (Address Resolution Protocol) bu katmanda kullanılır.
- Internet
layer, RFC 791 de tanımlanan Internet Protokolün kullanıldığı katmandır.
- IP temel
olarak datanın gönderilmesini sağlayan belkide TCP/IP protokolünün en
önemli katmanıdır.
- Temel
fonksiyonları: Datagramların tanımlanması, Internet adresleme tekniğinin
tanımlanması, NAL ile Transport katmanı arasında data alışverişi,
datagramların route edilmesi.
- IP nin en
önemli özelliği connectionless (bağlantısız) bir protokol olmasıdır. Yani
IP noktadan noktaya bir bağlantı.
- IP hata
tesbiti ve düzeltmesi için TCP/IP nin diğer katmanlarındaki protokollere
güvenir.
- Datagram: IP
nin kullanıldığı paket formatıdır. Paket anahtarlamalı ağlarda paketlerde,
üzerindeki adreslere göre ağlar arasında exchange edilir.
- Datagramın
başındaki ilk beş-altı 32 bitlik word headerı oluşturur.
- IP Header
contents: Protocol, Type of Service, Source address, Destination address
datagramın transferi için bütün gerekli bilgiler bulunur.
- Gateway &
Hosts: TCP/IP terminolojisinde bu iki ayrım önemlidir.
- Gateway’ler
networkler arasında paket transferi yaparlar, hostlar ise bunu yapmaz.
IP Routing
- Host’lar
kendilerine gelen paketleri TCP/IP nin her 4 katmanında değerlendirir.
Gateway’ler ise sadece IP layer’e kadar paketleri proses eder ve gerekli
routing’i yapar.
- IP katmanı tüm
routing kararlarının verildiği katmandır.
- Bir router
ancak kendisinin bağlı olduğu network üzerinde routing yapar. Yani her
router kendi network’unden sorumludur.
· IP’ye local bir host için bir datagram geidiğinde bu datagramın data
kısmını header’dan sıyırarak Transport katmanına gönderir.
· Transport katmanında hangi protokole gideceği
IP header’ın 3 üncü wordündeki Protocol Numarasından belli olur.
· IP nin diğer önemli bir öğesi ise ICMP
protoklüdür.
Transport Katmanı
· Internet katmanının hemen üstünde yer alan
Transport katmanı önemli iki protokolün yer aldığı katmandır.
· TCP ve UDP protokolleri.
· TCP: Noktadan noktaya hata tespiti ve
düzeltilmesini içeren güvenilir bir data transferi sağlar.
· UDP: Bağlantısız (connectionless) olan ve
transfer için fazla yük getirmeyen bir data iletişim protokolüdür.
UDP Protokolü
· UDP mesaj formatı TCP ninkine nazaran daha
kısa ve basittir.
· 16 bitlik source ve destination port
bilgileri içerir.
· Eğer transfer edilecek data uzun değilse UDP
rahatlıkla kullanılabilecek bir protokoldür.
· Özellikle “query-response” tipi basit
uygulamalar için idealdir. Response
positiv acknowledgement olarak
kullanılabilir.
TCP Protokolü
· TCP datanın networkde doğru ve güvenilir
şekilde taşınmasını sağlayan bir protokoldür.
· TCP Protokolünde paketlere “segment” adı
verilir. 32 bitlik ilk altı word, Source Port, Destination Port, Sequence
Number, Acknowledgement number gibi datanın transfer edimesini sağlayan
bilgiler içerir.
· PAR (Positive Acknowledgement Response)
kullanır, bağlantıya bağlı olarak çalışır (Connection oriented).
Uygulama Katmanı
· Transport Katmanı’nın üzerinde yer alır.
· Bir çok uygulamayı içeren bir katmandır.
Internet’in gelişmesi ile yeni uygulamalar eklenmektedir.
· Her uygulama belli bir protokol kullanır.
· FTP, TELNET, HTTP, TCP kullanır.
· DNS, RIP, UDP kullanır.
Addressing, Routing & Multiplexing
· Internet üzerinde bir host dan diğer bir
host’a data göndermek için bu üç işlevin çalışması gerekir.
MultiPlexing
· Data network üzerinde route edilerek gitmek
istediği host’un ağ interface’ine vardığında, doğru uygulamaya veya kullanıcıya
iletilmek zorundadır.
· Data TCP/IP katmanlarında yukarıya ve aşağı
doğru hareket ettikçe gerekli protokol ve portların bu datayı sağlıklı şekilde
kullanabilmesi için kullanılan mekanızma multiplexing diye adlandırılır.
TCP/IP Port kavramı
· IP transport protokollerini tanımlamak için
protokol numaralarını kullanır.
· Transport protokolleri uygulamaları tanımak
için port numaralarını kullanır.
· Protokol numarası IP Datagram’ın 3 üncü
word’ünde belirlenir.
· IP bu protokol nosuna bakarak datayı
Transport katmanına iletir.
· Uygulamaları belirleyen Port no ları
transport katmanında kullanılır ve datanın gerekli uygulamaya gönderilmesini
sağlar.
· Source port numarası datayı gönderen prosesi,
Destination port numarası datayı alacak uygulamanın port numarasını belirler.
· 256 nın altındaki port numaraları çok bilinen
(HTTP 80, POP3 110, SMTP 25) gibi servisler için ayrılmıştır.
Bu servislerin Tcp/Ip bazında iyi anlaşılması
sağlıklı bir internet güvenlik politikası oluşturulması açısından önemlidir.
2.NETWORK GÜVENLİĞİ
· İlk temel nokta bir politakının
belirlenmesidir.
· Ne kimden korunmaktadır. Internet
güvenliğinden önce kurum içi bir güvenlik
mekanızması
lazımdır. RFC 1244 temel site güvenlik konularını içeren bir referanstır.
· Örneğin DOD nin kabul ettiği (orange book)
bir güvenlik sistemi vardır. Örneğin D1, C1, C2, B1, A gibi
· Kurum içi güvenlik mekanızmasının var olduğu
düşünülerek dışaraya karşı neleri korumak isteriz.
n Kurum içi data
n Kurum içi bilgisayarlar
n Şirketinizin itibarı
n Finans ve İnsan kaynakları dataları vs..
· Heterojen bir network yapısına sahip
şirketlerde kullanılan platform ve işletim sistemlerinin farklılığı önem
kazanır. Internet TCP/IP protokolünü kullanır.
2.1.Asgari Güvenlik Seviyeleri
· Level D1: En alt seviye güvenlik. Tanımlama
yok. Örnek: DOS, Macs
· Level C1: Moderate (Orta) seviyede güvenlik.
Kullanıcı tanımlanması. Örnek: UNIX system
· Level C2: C1 üzerine ek güvenlik önlemleri.
Kontrollü erişim ve tanımlama. Audit mekanızması ve daha iyi authentication.
· Level B: B seviyesi 3 alt kategoriye
bölünmüştür. B1, B2, B3
· Level B1: Labeled Security Protection.
Secret, top secret seviyeleri mevcut. Her bir obje (file) label ediliyor.
· Level B2: Structured Security Protection.
Donanımda labeling e dahil ediliyor.
· Level B3: Security Domain Level. Özel bir
donanım güvenliği ssağlar. Örnek: Secure Term.
2.2.Yaygın bazı güvenlik açıkları
· Unix sendmail deamon eski versiyonları root
privilege problemleri
· Unix fingerd deamon eski eski versiyonları.
Ünlü 1988 Internet worm bu gediği kullandı.
· WU public ftpd server yazılımı. (root
privilege problemi)
· Genelde SUID ve SGID programlara çok dikkat
edilmeli.
· IP Spoofing (Source adresi değişmiş Ip paketi
ile trusted hostlara salıdırı)
· Ping of Death: Standart ping servisini uzun
bir paket ile kullanarak bazı işletim sistemlerini çökertmek.
· SYN Floods: Denial of Service. TCP
servislerinin three way hand shake özelliğini kullanarak cevabı olmayan SYN/ACK
paketleri göndererek server’ı tamamen cevapsız hale getirmek.
2.3.SYN Attack Details
· A -----------SYN-----------à B
· A ß-------SYN/ACK--------
B
· A -----------ACK-----------à B
Unreachable
Address -----------------SYN--------------à B
Unreachable
Address -----------------SYN--------------à B
Unreachable
Address -----------------SYN--------------à B
Unreachable
Address <-----------SYN/ACK-------------- B
Unreachable
Address <-----------SYN/ACK-------------- B
2.4.IP Spoofing
· Bir paketin IP source adresi değiştirilerek
local network üzerinde mir makine gibi davaranmak.
· Ne zaman tehlikeli: Local net de güvenilir
makinalar varsa. Örneğin UNIX sistemlerde .rhosts dosyası çok iyi kontrol
edilmeli.
2.5.Heterojen Networkler
· Örneğin Novell veya SNA konuşan bir networkde
TCP/IP desteği yoksa bu network temel olarak Internet’e karşı güvencededir.
Ancak...!
· İkinci önemli bir nokta kurumunuzdaki network
segmentlerinin hepsinin Internet’e açılıp açılmayacağıdır. Bazı önemli bilgiler
yüklü bilgisayarların Internet’e açılmasına gerek yoktur.
· Bir güvenlik yaklaşımı bazı segmentlerin
Internet’e açılmaması olabilir.
· En çok yaygın model host bazında güvenlikdir.
Bu modelde her host kendi güvenliğinden sorumludur. Büyük kurumlar için geçerli
değildir.
· Network güvenlik modelinde ise networkün
genel anlamda güvenliği sağlanmaya çalışılmaktadır.
· Network güvenlik modelinde ise merkeziyetçi
veya dağıtılmış bir yaklaşım kullanılabilir.
·