Guvenlik Duvarı(Firewall):

Firewall'lar, yerel ağınızla dış ağ arasındaki guvenlik kontrol yazılımları/cihazlarıdır. Firewall ilk kurulduğunda bu nokta uzerindeki butun gecişleri durdurur. Daha onceden belirlenen politikalar dahilinde hangi data paketinin gecip gecmeyeceği, hangi gecişlerde parola doğrulaması yapılacağı gibi bilgiler firewall kural tablolarına eklenir. Bu sayede sisteme ulaşan kişi ve bilgi trafiği kontrol altına alınmış olur. İcerideki/dışarıdaki sistemlere kimlerin girip giremeyeceğine, giren kişilerin hangi bilgisayarları ve hangi servisleri kullanabileceğini firewall uzerindeki kurallar belirler.

Firewall yazılımı, adresler arası donuşturme-maskeleme(NAT) sayesinde LAN(Local Area Network) deki cihazların IP adreslerini gizleyerek tek bir IP ile dış ağlara erişimini sağlar. Adres saklama ve adres yonlendirme işlemleri firewall uzerinden yapılabilir. Boylece dış dunyadaki kullanıcılar yerel ağdaki kritik topoloji yapısını ve IP bilgisini edinemezler. Firewall yazılımı kendi uzerinde belirtilmiş şupheli durumlarda sorumluları uyarabilir(e-mail, SNMP, vb.).

Gelişmiş firewall yazılımları uzerinden gecen butun etkinlikleri daha sonradan incelenebilmesi icin kaydederler. Ek bir lisans yada modul ile birlikte VPN(Virtual Private Network) denilen yerel ağa gidip gelen bilgilerin şifrelenmesi ile uzak ofislerden yada evden internet uzerinden guvenli bir şekilde şirket bilgilerine ulaşmak mail vb. servisleri kullanmak mumkun olmaktadır. Bu şekilde daha pahalı cozumler yerine(lised line yada frame relay) Internet kullanılabilir. Yalnız uzaktaki kullanıcıların guvenliği burada on plana cıkmaktadır. Dışarıdan bağlanan kişinin gercekten sizin belirlediğiniz yetkili kişi olup olmadığı onemlidir. Bu kişilerin şifresini ele gecirenler sisteminize o kişilerin haklarıyla ulaşabilirler. Bu noktada kişisel firewall ve dinamik şifre ureten tokenlar devrede olmalıdır.

Gunumuzdeki gelişmiş firewall sistemleri icerik denetleme işlemi yapmamakta bu tip hizmetleri firewall sistemleriyle entegre calışan diğer guvenlik sistemlerine yonlendirmektedir. Bu sayede guvenlik firmaları sadece odaklandıkları ve profesyonel oldukları konularda hizmet vermekte, kullanıcı da bu ayrık sistemlerden kendisi icin uygun olan cozumleri tercih etmektedir. Orneğin gelen bilgilerin icerisinde virus olup olmadığı yada atak yapılıp yapılmadığı firewall tarafından kontrol edilmez. Kurallarda belirtilmişse kendisi ile entegre calışan sisteme data paketini yonlendirir. Tarama işlemi diğer makinada yapıldıktan sonra paket tekrar firewall a geri doner.

Firewall yazılımının yonetim konsolu merkezi yonetim amaclı olarak ayrı makinelere yuklenebilir. Yonetim ile ilgili kurallar, trafikle ilgili kayıtlar(log) ayrı sistemlerde tutulabilir. Kullanıcı grafik ara yuzu ile uzak makinelerden kolayca yonetim yapılabilir ve mevcut kullanıcı bilgileri (LDAP) uygulamalarından alınabilir. Aktif bağlantılar goruntulenip gerektiğinde ana guvenlik politikalarına engel olmadan bağlantılara mudahale edilebilir. Bant genişliği yonetimi sağlayan sistemlerle entegre olabilir.

Firewall yazılımları/cihazları guvenliğin yapı taşları olup sistem icerisindeki diğer guvenlik yazılım/cihazları ile uyumlu calışmakta ve gelecekteki guvenlik teknolojilerine taban teşkil etmektedirler. Firewall yazılımı kesinlikle şart olmasına rağmen guvenlik icin tek başına yeterli değildir.


VPN (Virtual Private Networks)

VPN sayesinde hem maliyetlerimizi azaltmamız hem de daha onceden guvenli olmadığı, ayrıca pahalı olduğu icin yapamadığımız farklı mekanlardaki PC ve LAN'ları internet uzerinden aynı platformlara taşımamız mumkun. Bu sayede evimizdeyken şirketimize bağlanıp sanki oradaymış gibi guvenli bir şekilde şirket kaynaklarına ulaşmamız, maillerimizi kontrol etmemiz, Intranet'i kullanmamız mumkun olmaktadır.

Bu sayede mobil calışanlarımızı, uzak burolarımızı, bayilerimizi, iş ortaklarımızı bizim belirlediğimiz kriterlere gore şirket ici kaynaklarından faydalanmalarını sağlayabiliriz. Lised lines ve frame-relay hatların pahalı cozumlerine alternatif olarak Internet'i kullanabiliyoruz. Tabi akla gelen ilk soru Internet uzerinde bilgi alışverişi yapılırken bilgilerimiz ne derece guvende. VPN teknolojilerinde taraflar arasında karşılıklı şifreleme soz konusu ve bu şifreleme teknolojileri oldukca gelişmiş durumda. Guvenlik icin bilgiler karşılıklı dijital olarak imzalanır, sonra bu paketler uluslar arası standartlara uygun ceşitli protokollerden biri tarafından şifrelenir ve karşı tarafta da benzer şekilde acılır. Yalnız VPN sadece bilgi gidip gelmesi sırasındaki guvenliği kapsadığından karşılıklı yapıların firewallar tarafından korunması gerekmektedir. Sizin bolgeniz cok guvenli olabilir ama size bağlanan evdeki bilgisayarın guvenliği de onemlidir. Cunku dışarıdan iceri normal şartlarda sızamayan kişiler zincirin en zayıf halkasından iceri sızabilirler.

VPN uygulamalarında dikkat edilmesi gereken karşılıklı bağlantılar sırasında statik şifre kullanılmamasına dikkat edilmesi token/smart card benzeri cozumlerle desteklenmesi gerekir.


Antivirus

Ev kullanıcılarından buyuk şirketlere herkes antivirus cozumu kullanması gerektiğinin farkındadır. Kurumların ihtiyaclarını ev kullanıcıları gibi duşunemeyiz. Artık eski sistem desktop bazlı korumalar tek başına yeterli olmamaktadır. Orneğin bu tip bir sistem bilgisayarın acılması sırasında daha virus koruma yazılımı devreye girmeden ağdaki viruslenmiş bir sistem tarafından dosya paylaşımından faydalanarak sisteme girip antivirus korumasını devre dışı bırakabilmektedir. Yada son gunlerde tanık olduğumuz sistem acıklarını kullanarak yayılan "worm"larda olduğu gibi. Bu yuzden yeni teknolojilerde viruslerin merkezi bir yapı tarafından daha yerel ağa girmeden once taranması fikri esas alınmaktadır.

Viruslerin en cok yayıldığı servisler olan e-mail, http ve ftp trafikleri firewall mantığı esas alınarak antivirus ağ gecidine yonlendirilir. Buradaki tarama işleminden sonra gerekli yerlere yonlendirilme yapılır. Bu sistemle dışarıdan gelecek olan virusler engellenmiş olur. Mail sunucuları uzerine kurulan antivirus sistemiyle yerel ağ icerisinde e-mail aracılığıyla dolaşan viruslerde etkisiz hale getirilmiş olur.

Sunucu bilgisayarları uzerine kurulacak virus koruma yazılımları ve şirket calışanlarının sistemlerini kontrol edecek yazılımlarla kurumsal antivirus cozumu sağlanmış olur.

Butun bu virus sistemlerinin tek bir merkezi noktadan kontrolu ve tek bir noktadan antivirus guncelleme dosyalarının alınıp dağıtılması yapılabilmektedir. İstenirse firewall la entegre calıştırılabilmektedirler. Otomatik olarak gerektiğinde her saat başı yeni guncelleme dosyaları alınabilmektedir. Bu sistemlerle ayrıca rahatsız edici mailleri engellemek, icerdiği kelimelere yada eklerine gore silme/arşivleme vb. işlemler yapılabilmekte kısaca mail yonetimi sağlanabilmektedir.

Kurumsal Antivirus Koruması secerken dikkat edilmesi gerekenler

Virus taraması yaparken performans kaybı yaşanmamalıdır. Mumkunse uluslararası sertifikaları sorulmalıdır.Her turlu zararlı kodlara karşı tarama yapabilmelidir (Trojans, droppers, ActiveX ve Java) Muşteri tarafına her turlu yoldan zararlı kodların ulaşabileceği duşunulmeli sunulan cozum butun zararlı kodları tesirsiz hale getirebilmelidir. Sizi viruslerin coğundan değil hepsinden koruyan sistemlere ihtiyacınız olacaktır. Sorunla karşılaşıldığında servisini ve desteğini alabileceğiniz urunlere yonelin. Sisteminize entegre olup olmayacağını sorun cunku yeni teknoloji virus tarayıcılar firewall sistemleriyle proxy lerle mail sunucularıyla entegre calışabilmektedir Butun virus sistemini mumkunse tek yerden yonetebileceğiniz sistemleri secmeniz avantajınıza olacaktır. Merkezi raporlama ve otomatik guncelleme (yeni viruslere karşı) yapması da işlerinizi kolaylaştıracaktır.



IDS (Saldırı Tespit Sistemleri)

Saldırı Tespit Sistemleri, Internet dunyasının gelişim surecinde ozellikle tum dunyada kullanılan web trafiğinin artması ve de web sayfalarının populer hale gelmesi ile birlikte kişisel ya da tuzel sayfalara yapılan saldırılar sonucu ihtiyac duyulan en onemli konulardan biri haline gelmiştir. Bununla birlikte kurum ya da kuruluşların sahip oldukları ve tum dunyaya acık tuttukları mail, dns, database gibi sunucularının benzeri saldırılara maruz kalabilecekleri ihtimali yine Saldırı Tespit Sistemlerini Internet Guvenliği alanının vazgecilmez bir parcası haline getirmiştir. Kurumların sahip oldukları calışan sayısı ve bu calışanların kendi kurumlarındaki kritik değer taşıyan yapılara saldırabilme ihtimalleri de ic ağın ya da tek tek kritik sunucuların kontrol altında tutulma gerekliliğini beraberinde getirir.

IDS(Intrusion Detection System) genel olarak iki tip olarak karşımıza cıkar; Sunucu tabanlı IDS ve Ağ tabanlı IDS.

Ağ tabanlı IDS in gorevi, bir kurum yada kuruluşun sahip olduğu ağ yada ağlara yonlenmiş olan tum trafiği algılayarak, bu ağa doğru gecen her bir data paketinin iceriğini sorgulamak, bir atak olup olmadığına karar vererek kaydını alabilmek, kendisi ya da konfigure edebildiği başka bir aktif cihaz tarafından atakları kesmek, sistem yoneticisini bilgilendirmek ve ilgili raporlar oluşturabilmektir. IDS bir data paketinin atak olup olmadığını, kendi atak veritabanında bulunan atak tipleriyle karşılaştırarak anlar ve karar verir. Sonuc olarak bir IDS in en onemli bileşeni bu atak veritabanıdır. Soz konusu Atak veritabanı nın iceriği, ne kadar sıklıkla ve doğrulukla guncellendiği ve kimin tarafından oluşturulduğu/guncellendiği en onemli noktadır. Bu sebeple doğru uretici firma ve ekip secimi cok onemlidir.

Sunucu Tabanlı IDS in gorevi ise kurulu bulunduğu sunucuya doğru yonlenmiş bulunan trafiği yine uzerinde bulunan atak veritabanı(İşletim Sistemine gore ozelleştirilmiş) baz alınarak dinlemesi ve atakları sezerek cevap vermesidir.


Genel olarak IDS iki veya daha fazla makineden oluşan bir yapıdır. Performans artırımı sebebiyle Merkezi Kontrol ve Kayıt mekanizmasının bir makinede, Trafiği dinleyen ağ tabanlı modul veya Sunucu tabanlı modul ayrı makinelerde tutulur.

IDS' ler, dinlediği trafiğin kaydını tutarak, gerektiğinde bu kayıtları baz alarak istenilen şekilde raporlar cıkartabilmektedir. Atak sezdiklerinde atakları onleyebilir, yoneticilerine mail yada benzeri yollarla haber verebilirler, onceden oluşturulmuş bir program calıştırabilir ve telnet benzeri bağlantıları kayıt ederek sonrasında izlenmesini sağlayabilirler. Tum bu ozellikleriyle IDS ler sistemin guvenli bir şekilde işlemesine yardımcı olur ve Sistem Yoneticilerinin Sistemi guclu bir şekilde izlemesine yardımcı olmaktadırlar.



Web filtreleme cozumleri (URL Filtering)

Bugun calışanların coğunun Internet'e erişim hakları var. Fakat bunların hangi sayfalara gittikleri, oralarda ne kadar zaman gecirdikleri bunların ne kadarının işle ilgili olduğu gibi soruların yanıtlanması gerekiyor. Son zamanlarda yapılan bir cok araştırma iş gunu icerisinde yapılan web sayfası ziyaretlerinin coğunun işle alakalı olmadığı, sakıncalı sayfa ziyaretlerinin sistemlere virus/trojan bulaşmasına, gereksiz bant genişliği harcanmasına ve yasal olmayan sitelerden indirilen programların sistemlere sahte lisanslarla kurulmasına (ki bu programların lisanssız yada sahte lisanslarla kurulmasından sistem yoneticileri ve şirket sahipleri BSA ya karşı sorumlular) sebep olmakta.

Butun bunları engelleyebilmek icin URL filtering denilen yazılımlar kullanılmakta. Bu yazılımların her gun guncellenen veri tabanları sayesinde dunyadaki coğu web sayfaları sınıflandırılmış durumda. Bu yazılımlar kişi, grup, IP adres aralıklarına kural tanımlamamızı sağlamaktadır. Bu sayede daha onceden tanımladığımız kişilere hangi zaman aralıklarında nerelere girebileceklerini belirlenebilir. Yada gun icerisinde bizim belirlediğimiz kategoriler icin zaman kotası uygulana bilinir. Orneğin sabah 9:00-12:00 arası gazetelere yarım saat bakılma izni (bu sayfalarda kalış zamanı kotadan duşurulur) 12:00-13:00 her yere izin vb.. URL filtreleme yazılımlarıyla ayrıca anahtar kelime bazlı sınırlandırma(ornegin mp3) yada manuel olarak sayfa eklenebilir.

Engellenen sayfalarla ilgili olarak kullanıcı karşısına bilgilendirici bir ekran cıkar ve neden engellendiği yada hangi zaman aralıklarında gecerli olduğu belirtilir. Burada daha onceden belirlenmiş bir sayfaya yonlendirmekte mumkundur. Bu tur yazılımlarının raporlama modulleri sayesinde kimlerin nerelere gittikleri oralarda ne kadar sure boyunca kaldıkları gibi ayrıntılı bilgilere ulaşmak mumkundur.

Internetin pozitif kullanımı

* eMail
* eTicaret
* Araştırmalar
* Onemli gelişmeler
* Dokuman alışverişi
* Web tabanlı uygulamalar

Negatif amaclarla kullanım

. Desktop TV, BBG tarzı yapımlar
. Porno
. Hisse senedi
. Eğlence
. Alışveriş
. Kumar
. Muzik
. Spor
. Download
. Internette en cok aratılan uc kelime mp3, sex, hotmail (kaynak wordtracker.com)
. Calışanların 54% u gun icerisinde an az yarım saatlerini işle alakasız konularda internette sorf yapmaktadırlar
. Bu zamanın coğu yetişkin sitelerinde gecmekte
. Yeni iş başvuruları yapılmakta
. Gezi siteleri ziyaret edilmekte
. Spor aktiviteleri takip edilmekte
. Konuşma odalarında bulunulmakta
. Hacker sayfaları ve hack araclarının bulunduğu sayfalar ziyaret edilmekte


Guclu Tanılama (Strong Authentication)

Gercekten sistemlerinize kimlerin ulaştığını biliyor musunuz? Eğer VPN, mail, Web sayfa erişimleri, uzak erişim (remote access) v.b. bağlantılarınızda statik kullanıcı isimleri ve şifreler kullanıyorsanız bundan tam olarak emin olamazsınız. Dışarıdan yapılan bağlantılarda sizin verdiğiniz şifrelerin başkaları tarafından ele gecirilmesi yada "brute force" denilen yontemle şifrelerin bulunması soz konusudur. Guclu tanılama yontemleri sisteminize erişenlerin kimliğinden emin olmanızı sağlar.


Guclu tanılama (Strong Authentication) nedir?:
Guclu tanılama, bir kullanıcıyı tanırken en az iki metot kullanır. 3 metotla mevcut tanılama guclendirilebilir:
. Sahip olduğunuz şey (Something you have)
Kapı anahtarı, ATM kartı veya token
. Bildiğiniz şey (Something you know )
Şifre, PIN numarası
. Biyometrik tanılama (Something you are)
Parmak izi, ses tanıma sistemleri, retina taramaları

Bu yontemlerin her biri tek başına yeterli değildir mesela ATM kartınızı kaybedebilirsiniz, şifreniz tahmin edilebilir. Biyometrik tanılama guclu bir yontem olmasına rağmen halen pahalı ve acık noktaları bulunabilmektedir. Bu yontemlerden teki (single authentication) yerine iki metodun birlikte kullanıldığı yontemler "two-factor authentication" yada "strong authentication" olarak bilinmektedir. Orneğin ATM makineleri iki kombinasyonu birlikte kullanırlar plastik bir kard (Something you have) ve bir PIN numarası (Something you know). Token ve smart kartlar guclu tanılama sistemleri kullanırlar. Token ve smart kartların bir cok ceşidi bulunmakta

Smart Kartlar: Dunya uzerinde yaklaşık bir milyar kişi smart kart teknolojisini banka hesapları, odeme, telefon sistemleri, kişisel bilgilerin saklanması(tıbbi kayıtlar gibi) icin kullanıyor. Smart kartlar ATM(banka) kartlarından cip yapısıyla ayrılır. ATM kartlarında statik bilgi iceren manyetik bantlar bulunmaktadır. Smart kartlarda ise kucuk bir cip bulunmaktadır. Bu sayede cip icerisinde bilgilerin saklanmasının yanında hesaplamalarda yapılabilmektedir. Manyetik kartların dış yuzeylerinde bulunan bilgilerin kopyalanabilmeside guvenlik acısından smart kart kullanımının gerekliliğini ortaya koymaktadır. Butun bilgilerin ve işlemlerin cip icerisinde yapılması ve cipin kopyalanamaması smart kartın en buyuk artıları arasında yer almakta. Ayrıca smart kartınızdaki bilgilerinize ulaşmanız icin kartınızın PIN koduna ihtiyacınız var. Oldukca guvenli bu sistemlerin tek dezavantajı smart kart okuyucuya ve yazılımına ihtiyac duyulması.

Token-Tabanlı Uygulamalar: Token cozumleri gelecekte guvenlik işlemlerinde zorunluluk olarak kaşımıza cıkacak. Şifrelerin bu kadar kolay ele gecirilebilmesi yada şifre denemeleri sayesinde şifrelerin bulunabilmesi her seferinde size başka şifre ureten sistemlerin doğmasına yol actı. Bu sayede şifrenizi ele geciren bir kişi dahi onu kullanamaz. Bunun icin ceşitli yazılım yada fiziksel cozumler mevcut. Dakikada bir değişen şifreler yada her duğmeye bastığınızda size yeni bir şifre ureten tokenlar sayesinde şifrelerin calınması yada başkaları tarafından bilinmesi problemi ortadan kalkıyor. Ve tokenların coğundaki sistem bir PIN numarası ile korunuyor bu sayede tokenin kendisini kaybetmeniz durumunda dahi sistem kendini koruyabiliyor. Bir coğu anahtarlık ve kredi kartı boyutlarında uretildiklerinden kolayca yanınızda taşıyıp istenilen yerden başka bir sisteme gerek kalmadan bağlantılarınızı guvenli bir şekilde yapabilirsiniz.
__________________