network guvenligi temelleri
DESCRIPTION
TRANSCRIPT
- 1. Network (A) Gvenlii Temelleri Ar. Gr. Enis Karaaslan Ege niversitesi Network Ynetim Grubu A Gvenlii Yneticisi
- 2. A (Network) Nedir?
- A (network), paylam amacyla iki ya da daha fazla cihazn bir araya getirilmesiyle oluturulan bir yapdr.
- Alar drt ana snfta toplayabiliriz :
-
- Yerel Alar(LAN): Bina veya ofis ii gibi snrl alanlar dahilinde kurulurlar. Dier a tiplerine gre daha hzl alrlar. (1-100m)
-
- Kamps Alar: Birbirine yakn olan binalar arasnda bilgi ve kaynak paylamn salarlar. (1 - 10 km)
-
- Ulusal Alar: (10-100 km)
-
- Uluslararas Alar (100 km + )
- 3. Gvenlik Servisleri
- Gizlilik (Confidentiality)
- zgnlk (Authentication)
- Doruluk - Btnlk (Integrity)
- Mevcudiyet (Availability)
- Rededilme (Nonrepudiation)
- Eriim Kontrol (Access Control)
- Zamannda Olma ( Timeliness)
- 4.
- Bir zincir, ancak en zayf halkas kadar gldr.
- 5. Gvenliin Salanmas Gereken Ortamlar
- Bilgisayar Gvenlii
-
- Fiziksel Gvenlik
-
- letim Sistemi ve Uygulamalarn Gvenlii
-
- Kullanc Ynetimi
- A Gvenlii
-
- letiimi salayan cihazlarn gvenlii
-
- Ate Duvar (Firewall)
-
- Saldr Tespit Sistemleri (Intrusion Detection Systems)
- ifreleme (Encryption)
- 6. Hacker
- `Saldrgan` (hacker) sisteminizin gvenliini gemeyi ve kendi amaclar dorultusunda kullanmay amalayan kiidir.
- 7. Gvenlik Politikas
- Her kurum iin yazl bir Gvenlik Politikas (Security Policy) bulunmaldr.
- Gvenlik politikas, kurumun ana ve a zerindeki zkaynaklara eriim kurallarn taslak olarak ortaya koyan, politikalarn nasl uygulanacan belirten ve gvenlik ortamna ilikin temel mimarinin bir ksmnn erevesini izen genel, kapsaml bir dokmandr.
- Bu politika kullanclarn dikkatine sunulmaldr.
- 8. A Gvenlii
- Internet Balantsn salayan routerin arkasna firewall koyarak dardan gelen saldrlara kar koymak.
- Email, http, ftp trafii zerinde virs taramas yapan Viruswall zmleri
- Ynetilen alarn Saldr Tespit Sistemleri (IDS) ile kontrol edilmesi.
- Yerel ada A trafiinin zerinden getii cihazlarn gvenliinin salanmas.
- U noktalarn Internet altyaps zerinden birbirine balanmasnda VPN zmleri
- Her trl a iin verinin ifrelenmesi
- 9. Firewall (Ate Duvar)
- Alar aras eriimi kural tabanl belirler
- Yazlm veya donanm tabanldr.
- Mimarileri
-
- Statik Paket Filtreleme
-
- Dinamik Paket Filtreleme (Statefull inspection)
-
- Uygulama Seviyesinde Koruma (proxy)
- Trl formatta kayt ve uyar sunabilirler
- 10. Firewall (Ate Duvar)
- 11. A Tabanl Anti-Virus Sistemleri
- Mail Hub (Ana email datcs)
-
- A ortamndaki mail trafiinde; virs, worm ve trojanlar tespit ve silme.
-
- Spam Engelleme
- Http, ftp trafiini de denetleyenleri bulunur.
- mzalar tanmlanmam virsler de heuristic yntemlerle tespit edilebilir.
- 12. letiim Protokolleri
- letiim protokolleri tasarlanrken sistemin almas hedeflenmi ama gvenlik konusu gz ard edilmitir.
- Mmkn olduunda yeni versiyonlara geilmelidir
-
- ip versiyon4 ip versiyon6
-
- snmp versiyon 1 snmp versiyon 2
- Baz protokollerin kullanm mmkn olduunca azaltlmaldr.
- r: Netbios (ve a paylam)
- 13. A Cihazlarnn Gvenlii
- Fiziksel Gvenlik
- letim Sistemlerinin Terfisi - TFTP veya FTP ile i letim Sistemi Datm
- Eriim Listeleri - Cihazlara sadece belirli IP adreslerinin ulamasna izin verilmelidir .
- ifre Seimi- K ullanan kii tarafndan hatrlanmas kolay, saldrgan tarafndan tahmin edilmesi zor olmaldr.
- HTTP - Mmkn olduunca http protokol ile (web zerinden) cihazlar ynetilmemelidir
- 14. A Cihazlarnn Gvenlii (devam)
- SSH - Telnet yerine SSH ile cihazlara eriim
- SNMP ayarlar Varsaylan ayarlar deitirilmelidir.
-
- Sadece Oku ( Read only ) ve Oku-Yaz ( Read-Write ) eriimleri iin kullanlan varsaylan SNMP ifre leri ( community ) deitirilmeli
-
- SNMP Version 2
- Kaytlama (Logging) - eitli hadiseler ( event ) hakknda kaytlama
- Virtual Lan (VLAN - sanal alar) kullanlarak kullanclar fiziksel lokasyonundan bamsz olarak gruplamak, farkl subnetlerde toplamak mmkndr.
- 15. Saldr Tespit Sistemleri (IDS)
- Saldr Tespiti Sistem'leri (Intrusion Detection Systems), bilgisayar sisteminize ve a kaynaklarnza olan saldrlar tespit etmek, sistemi izleyip anormal olan durumlar saptamak ve bunlara kar gerekli nlemleri almay amalayan gvenlik sistemleridir.
- Saldr Tespit Sistemleri denetledii veriler asndan iki ana gruba ayrlabilir.
-
- A Bazl:
-
- r: Packet Sniffer, Network Monitors (prosmiscuous mode)
-
- Sunucu (host) Tabanl:
-
- r: Network Monitor, Host Monitor
- 16. Saldr Tespit Sistemleri (IDS)
- Kulland teknikler asndan IDS iki ana gruptan oluur:
- Kalp Eletirme (Signature) Sistemleri: nceden tespit edilmi saldrlarn e zamanl olarak ileyici tarafndan karlatrlmasn esas alr.
- r: Snort vb.
- Anormallik Alglayc (Anomaly Detection) Sistemleri: Sistemi nce renen, istatistiksel olarak normal alma yapsn karan sistemlerdir. Buna gre anormal davranlar yakalarlar.
- r: Cylant Secure, NFR(Network Flight Recorder) vb.
- 17. Virtual Private Networks (VPN)
- Birden fazla sistem veya an, gvensiz alar zerinden gvenli iletiimini salayan a bileenidir.
- Donanm veya yazlm tabanldr.
- Harici Onaylama Sistemleri (Radius, Tacacs) ile birlikte kullanlmalar nerilmektedir.
- 18. ifreleme
- Verinin ifrelenerek gnderilmesi (encryption), ifre kullanlarak aklas (decryption)
- ifrelemede anahtar kullanmnda:
-
- Simetrik (Conventional) ki anahtar da aynysa
-
- Asimetrik ( Public Key Encryption ) Anahtar ifti (public, private)
- 19. ifreleme
- Krlamayan ifreler One Time Pad
- ifrelenmi bir veri ele getiinde
-
- Ne kadar srede krlr?
-
- Bu ilem iin ne kadar ilem gc gerekir?
- ifrelemeyle ilgilenen bilm dal:
-
- Kriptografi (Cryptology)
- 20. A Gvenlii
- Kurum bnyesinde Gvenlik Politikas oluturulmaldr.
- A gvenlii sadece bir G venlik D uvar alnarak salanamaz.
- Saldr Tespit Sistemleri (IDS) ile sistem devaml kontrol edilmelidir.
- nemli ve kritik bilgiler mutlaka ifrelenerek gnderilmelidir.
- Aa bal her elemann gvenlii belirli seviyelerde salanmal ve sistem devaml kontrol altnda tutulmaldr.
- Acil Durum Plan oluturulmaldr.
- A gvenlii ynetiminin srekli devam eden bir sre olduu unutulmamaldr.
- 21. Linkler
- Daha detayl bilgi iin:
- Ege niv. Gvenlik Grubu,
- http://security.ege.edu.tr
- CERT, http://www.cert.org
- Olympos Security,
- http://www.olympos.org
- Gvenlik Haber,
- http://www.guvenlikhaber.com
- Ege niv. Cisco Network Akademisi,
- http://cnap.ege.edu.tr
- 22. letiim: Ar. Gr. Enis Karaaslan [email_address] Dinlediiniz iin teekkrler. Sorularnz bekliyorum...