linux’te güvenlik
DESCRIPTION
BİLGİSAYAR TEKNOLOJİLERİ VE PROGRAMLAMA BÖLÜMÜ BİLG 22 4 AĞ İŞLETİM SİSTEMLERİ II DERSİ. Linux’te Güvenlik. Öğr. Gör. Mustafa SARIÖZ. Neden Güvenlik. - PowerPoint PPT PresentationTRANSCRIPT
Linux’te Güvenlik
Öğr. Gör. Mustafa SARIÖZ
BİLGİSAYAR TEKNOLOJİLERİ VE PROGRAMLAMA BÖLÜMÜ BİLG 224 AĞ İŞLETİM SİSTEMLERİ II DERSİ
BİLG 223
Neden Güvenlik
Veriniz A noktasından B noktasına İnternet üzerinde giderken, yolu boyunca bir dizi başka noktalardan geçebilir, ve bu şekilde diğer kullanıcılar; Gönderdiğiniz verinin yolunu kesebilir, Veriyi değiştiribilir Kötü niyetle, sizin isteğiniz dışında verinizi başka bir şekle
sokabilir. Sisteminize izinsiz erişim sağlayabilir İleri düzey bilgileri kullanarak sizmişsiniz gibi davranabilir Sizden bilgi çalabilir Hatta kendi kaynaklarınıza erişiminizi engelleyebillir
BİLG 223
Ne kadar Güvenlik?
Hiçbir bilgisayar sisteminin tamamen güvenli değildir. Güvenlik önemleriniz arttıkça, bu güvenlik
önlemlerinin kendisi sistemi kullanılmaz hale getirebilmektedir.
BİLG 223
Güvenlik Politikası
Eğer orta büyüklükte veya büyük bir siteyseniz, bir güvenlik politikası oluşturmalı, ve bu politika sisteminizin ne kadar güvenliğe gereksinimi olduğunu belirtiyor olmalıdır.
Genel olarak kabul edilmiş bir güvenlik politikası: “ İzin verilmemiş herşey yasaklanmıştır. ” Gerçek hayatta güvenlik politikaları nasıl oluyor
görmek isterseniz; ftp://coast.cs.purdue.edu/pub/doc/policy
BİLG 223
Genel Linux Güvenliği
1.Güvenlik Duvarı 2. TCP Wrappers 3. Xinetd Linux işletim sistemlerinde
servislerin erişim kontrölü için Ağ üzerinden gelen istekler öncellikle güvenlik duvarı ile filtrelenir. Arkasından servislere erişim kontrölü için iki sistem kullanılabilir.
BİLG 223
Genel Linux Güvenliği
Iptables, ethernet aygıtımız üzerinden geçen trafikdeki dataları başlıklarına bakarak erişim denetimlerini sağlar.
TCP Wrappers servislere hangi istemcilerin erişebileceği ve erişimler ile ilgili kayıtların tutulmasını sağlar.
Xinetd, TCP Wrappers’ın sağladığı kontrollerin yanı sıra servis üzerinde daha gelişmiş bir kontrol mekanizmasına sahiptir.
BİLG 223
Güvenlik Duvarı
Güvenlik duvarı, yerel ağınızın içine giren ve dışına çıkan bilgiyi denetim altında tutmanın bir yoludur. Tipik bir güvenlik duvarı, İnternete ve yerel ağınıza bağlanmış durumdadır, ve yerel ağınızdan İnternete tek çıkış yolu güvenlik duvarının içinden geçmektir. Bu yolla güvenlik duvarı yerel ağdan İnternete ya da İnternetten yerel ağa nelerin geçtiğini denetleyebilir.
BİLG 223
Güvenlik Duvarı
Güvenlik Duvarları
Packet Filter, IpFW, IpFilter, Iptables
BİLG 223
Güvenlik duvarı için örnek bir senaryo Sistemimizde HTTP, FTP, Pop3, Smtp servisleri
çalışıyor olsun. Sistemimiz dışarıdan gelecek Ping'lere yanı vermesin ve belirtilen servisler dışındaki hiçbir porta talep gönderilemesin.
BİLG 223
Kayıt (LOG) Tutmak
Merkezi Kayıt Sunucusu Oluşturmayı Hedeflemektedirler
Ağ Üzerinde Kayıt Aktarımını Şifreli Olarak Sağlayabilirler
Farklı Sistemlerde Tutulan Kayıtları Özelleştirebilir ve Gruplayabilirler
Raporları Belirli Özelliklerine Göre Grafiklerle İfade Edebilirler
BİLG 223
Kayıt (LOG) Tutmak
"Syslog", yazılımların sistem yöneticisini ilgilendiren iletileri teslim edeceği ve bu iletileri aktarmak için konsola çıktılama, belli bir şahsa postalama ya da ileride başvurulmak üzere bir günlük dosyasına kaydetme gibi çeşitli yolları yapılandırabileceği bir oluşumdur.
Syslog tarafından tutulan kayıtlar genellikle hata mesajları veya çekirdek mesajları gibi kayıtlardır.
syslogd sistem açılırken arkaplanda işlemeye bırakılır.
BİLG 223
NAT
10.0.0.1
10.0.0.2
10.0.0.3
10.0.0.4
138.76.29.7
Dahili ağ(örn. Ev ağı)
10.0.0/24
İnternetin geri kalanı
NAT çevrim tablosuWAN tarafı adresi LAN tarafı adresi
138.76.29.7, 5001 10.0.0.1, 3345…… ……
BİLG 223
Saldırı Tespit
Normal trafik -saldırgan trafigi ? Anormal trafigi izlemek ise yarar mı? En bilinen özgür (N)IDS Snort
7 yıl öncesinde basit bir sniffer projesi..
Günümüzde: Ag temelli , imza tabanlı saldırı tespit sistemi Açık kaynak kodlu, Aktif gelistirici toplulugu Snortsam ile Firewall’a kural gönderme Onlarca yönetim arabirimi
BİLG 223
Proxy (Vekil)
Zaman zaman yetkili sunucu veya proxy olarak da anılan Vekil sunucu, internete erişim sırasında kullanılan bir ara sunucudur. Bu durumda, örneğin bir web sayfasına erişim sırasında direkt bağlantı yerine:
Tarayıcı vekil sunucuya bağlanır ve hangi sayfayı istediğini söyler
Vekil sunucu gerekiyorsa o sayfaya bağlanır ve içeriği alır
Vekil sunucu tarayıcıya içeriği gönderir
BİLG 223
Proxy (Vekil)
Bu teknoloji, birçok avantaj sağlar: Ekstra hız Ekstra kontrol Ekstra güvenlik Ekstra gizlilik
BİLG 223
Proxy (Vekil)
Squid, HTTP istemcilerinin taleplerini karşılayan, yüksek hızlı ve caching yapabilen bir proxy sunucudur.
BİLG 223
VPN'ler - Sanal Özel Ağlar
VPN'ler, var olan bir ağın üstüne "sanal" bir ağ kurmanın bir yoludur. Bu sanal ağ, bazı durumlarda şifreli olup, sadece ağa katılmış olan ve kim olduğu bilinen bilgisayarlar arasındaki trafiğe izin verir.
VPN'ler, çoğunlukla evde çalışan birini, herkese açık İnternet üzerinden dahili bir şirket ağına bağlamak için kullanılır.
BİLG 223
VPN'ler - Sanal Özel Ağlar
VPN Çesitleri Ipsec VPN, L2TP, PPTP, SSL VPN
VPN SERVER
Internet Adapter
CorporateIntranet
VPN Remote Access Client
InternetInternet
TunnelTunnel
BİLG 223
VPN'ler - Sanal Özel Ağlar
Linux'taki VPN çözümlerinden bir kaçı: vpnd.
http://sunsite.dk/vpnd/ Free S/Wan,
http://www.xs4all.nl/~freeswan/ vps (sanal özel sunucu):
http://www.strongcrypto.com yawipin
http://yavipin.sourceforge.net ssh, bir VPN oluşturmak için kullanılabilir.
BİLG 223
Zayıflık Tarama Sistemleri
Yayınlanmış, bilinen uygulama ve sistem zayıflıklarını test eden araçlardır
Veritabanlarında bulunan zayıflıkları hiçbir özel yöntem uygulamadan test etmektedirler
Zaman içerisinde oluşabilecek zayıflıkları düzenli takip etmeyi sağlarlar
Script dilleri sayesinde yeni zayıflıklar kolayca tanımlanabilir
3 farklı mimaride çalışabilirler : Ağ Temelli, Uygulamaya özel ve Sunucu Temelli
BİLG 223
Zayıflık Tarama Sistemleri
Nessus, hackerların bilinen güvenlik açıklarından faydalanmasından önce açığı tespit etmek ve çözümünü bulmak için tasarlanmıştır. Nessus bir sürü yetenekleri olan çok iyi bir araçtır.
Makinelerde veya ağlarda port ve servis tabanlı tarama yapan bir kaç farklı yazılım paketleri mevcut. SATAN ve ISS iyi bilinen diğer zayıflık tarama sistemleri.
BİLG 223
NMAP
Nmap, bilgisayar ağları uzmanı Gordon Lyon(Fyodor) tarafından C/C++ ve Python programlama dilleri kullanılarak geliştirilmiş bir güvenlik tarayıcısıdır.
Taranan ağın haritasını çıkarabilir ve ağ makinalarında çalışan servislerin durumlarını, işletim sistemlerini, portların durumlarını gözlemleyebilir.
Görsel arayüzü veya komut satırı kulanılabilir.
BİLG 223
Paket Koklayıcılar
Saldırganların, ağınız üzerinde daha fazla sisteme erişim kazanmasının en yaygın yollarından biri, güvenliği ihlal edilen bilgisayarlardan birinin üzerinde bir paket koklayıcı çalıştırmasıdır.
Bu "koklayıcı", paket akışı içinde passwd, login ve su gibi programlar için Ethernet portunu dinler ve günlük tutar. Bu yolla saldırganlar, girmeye hiç kalkışmadıkları sistemlerin parolalarına dahi erişebilirler. Açık metin parolalar bu saldırıya karşı çok korunmasızdırlar.
BİLG 223
Paket Koklayıcılar
ssh veya diğer şifreli parola yöntemlerini kullanarak, bu saldırının önüne geçilebilir.
Örnek Paket koklayıcılar: Wireshark
Görsel ara yüzlü Gelişmiş filtreleme
Tcpdump Komut tabanlı
BİLG 223
REFERANSLAR
csirt.ulakbim.gov.tr/dokumanlar/LinuxGuvenlikNasil.pdf
http://www.bayar.edu.tr/bid/dokumanlar/lkd-nessus-mart.pdf
BİLG 223
SORULAR?