MCAFEE FOCUS 12 GÜVENLİK KONFERANSININ
Transkript
MCAFEE FOCUS 12 GÜVENLİK KONFERANSININ
2012 • MCAFEE FOCUS 12 GÜVENLİK KONFERANSININ ARDINDAN • VERİ BÜTÜNLÜĞÜ, ŞİFRELEME ve GÜVENLİK • SANAL SİSTEMLERDE YEDEKLEME VE REPLİKASYON – 2 • UNDERGROUND • OBSERVE IT / SİSTEMİNİZDEKİ GÜVENLİK KAMERA SİSTEMİ • VERİ VE AĞ ŞİFRELEME ÇÖZÜMLERİNDE GÜNCEL YAKLAŞIMLAR Kasım 2012 beyazşapka 1 McAfee Focus 12 Güvenlik Konferansından Kareler 2 beyazşapka Kasım 2012 Değerli abonemiz, İçindekiler 04 >> McAfee Focus 12 Güvenlik Konferansının Ardından Serkan Akcan 06 >> Veri Bütünlüğü, Şifreleme ve Güvenlik Erkan Şen 08 >> Veeam–2: Sanal Sistem Yedekleme ve Replikasyon Çözümü Tarkan Çiçek 10 >> Underground İrfan Kotman 12 >> Modern Veri Merkezi Koruması–1 Birant Akarslan Beyaz Şapka’yı her sayıda biraz daha ileriye götürmek için çalışmalarımız devam ediyor. Amacımız abonelerimize ve müşterilerimize içeriği dolu bir yayın sunmak. Elli sayfalık bir yayın hazırlayıp içini otuz sayfa reklam ile doldurmuyoruz. Ürün ve teknolojiden bilgi güvenliği yönetim ilkelerine, sektörel konferanslardan bilişim hukukuna kadar oldukça geniş bir yelpazede reklamsız bir içerik yaratmaya çalışıyoruz. Abonelerimizin ve abone olmayanların Beyaz Şapka hakkındaki en büyük beklentileri eski sayılara erişim. Birçok abonemize talepleri üzerine eski sayılarımızı gönderdik. Ancak sınırlı lojistik imkanları nedeniyle her abonemize eski sayıları göndermemiz mümkün olmuyor. Ayrıca abone olmayan veya aboneliğe kabul edemediğimiz kişiler de Beyaz Şapka’yı okumak istediklerini belirten mesajlar gönderiyorlar. Abonelerimizin eski Beyaz Şapka sayılarına ulaşmasını sağlamak ve abone olmayanları Beyaz Şapka içeriğinden mahrum bırakmamak için Beyaz Şapka’nın PDF sürümlerini web sitemizde yayınlamaya başlıyoruz. Bugün itibarı ile web sitemizden herhangi bir erişim sınırlaması olmaksızın Beyaz Şapka’nın eski sayılarını indirebilirsiniz. Web sitemize her yeni sayı çıktığında bir önceki sayı yüklenecektir. Eski sayılarımıza ulaşmak için şimdi web sitemizi ziyaret edebilirsiniz. http://www.nebulabilisim.com.tr/beyazsapka 16 >> Observe IT / Sisteminizdeki Güvenlik Kamera Sistemi İrfan Kotman 18 >> Veri ve Ağ Şifreleme Çözümlerinde Güncel Yaklaşımlar Serhat Kahraman www.nebulabilisim.com.tr Beyaz Şapka’nın web sayfalarında dergiye konu olmuş makaleleri destekleyen videolar bulunduğunu tekrar hatırlatmak istiyoruz. Beyaz Şapka’nın içeriği üretici, iş ortağı, bilgi güvenliği uzmanı ve danışman gözüyle yaratılıyor. İçerik zincirimizde son kullanıcı eksiğimiz bulunduğunu düşünüyoruz. Abonelerimizin Beyaz Şapka’ya yazmak isteyeceği her türlü teknik analiz, proje dokümanı, teknoloji karşılaştırması, how–to dokümanı, kurumsal veya kişisel tecrübeyi anlatan makaleye sayfalarımız açık. Lütfen yayınlamak istediğiniz makaleniz için bizimle temasa geçin. Nebula Bilişim olarak Türkiye’nin ilk ve tek bilgi güvenliği dergisi Beyaz Şapka’yı sizlere büyük emekler harcayarak ulaştırmaya çalışıyoruz. Nebula Bilişim olarak Türkiye’nin ilk ve tek bilgi güvenliği dergisi Beyaz Şapka’yı sizlere büyük emekler harcayarak ulaştırmaya çalışıyoruz. Beyaz Şapka Nebula Bilişim tarafından üç ayda bir yayınlanır ve Nebula Bilişim müşterilerine ücretsiz dağıtılan bir broşürdür. Beyaz Şapka Nebula Bilişim’in tescilli markasıdır ve her hakkı saklıdır. İçeriğimizi zenginleştirmek ve beklentileri daha çok karşılayan bir Beyaz Şapka yaratmak için lütfen bize eleştiri, görüş ve önerilerinizi yazın. Güvenli Günler! Beyaz Şapka Ekibi Kasım 2012 beyazşapka 3 Serkan AKCAN serkan.akcan@nebulabilisim.com.tr McAfee Focus 12 Güvenlik Konferansının Ardından McAfee Focus konferans serisinin beşincisi ABD’nin Las Vegas şehrinde gerçekleştirildi. İşte katılamayanlar için kısa bir özet! Rock Hotel’in 4000 kişilik muhteşem konser salonunda Rock müzik tarihinin efsanelerinden, Rebel Yell ve White Wedding gibi şarkıların sahibi Billy Idol’ın Focus konferansı katılımcıları için verdiği muhteşem konserle konferans sona erdi. Bir Rock müzik fanatiği olarak konferansın en güzel anının konser olduğunu söyleyebilirim. McAfee Focus 12, her yıl Las Vegas’ta düzenlenen Focus güvenlik konferans serisinin beşincisi. Öncelikle konferansın genel içeriğinden bahsedeyim. Konferans 2 ila 4 gün arası sürüyor. Açılış resepsiyonunun ardından ilk iki gün son kullanıcılar için oturumlar yapılıyor. Onlarca paralel oturumun yanısıra genel oturumlarda genel güvenlik konuları ve onur konuğunun yer aldığı sunumlar yapılıyor. Sunum içeriklerinde yoğun biçimde güncel tehditler ve ürün yol haritaları yer alıyor. Katılımcıların ürün müdürleri ve diğer yetkili McAfee çalışanları ile bire bir toplantılar düzenleyebildikleri oturumlar da mevcut. İkinci günün sonunda konferansa özel kapanış konseri ile son kullanıcılar için konferans eğlenceli biçimde sona eriyor. Üçüncü ve dördüncü gün ise iş ortakları ve teknoloji ortakları için özel sunumlar ve toplantılar düzenleniyor. Bu yıl 3100’den fazla katılımcının olduğu konferansa Türkiye’den büyük çoğunluğu Nebula ve müşterilerinden oluşan yaklaşık 15 kişi katıldı. Konferansta 70’ten fazla sunum yapıldı ve 40’tan fazla teknoloji ortağı sponsorun standı fuar alanında yer aldı. Geçtiğimiz yıllarda ABD’nin 42. başkanı Bill Clinton ve Virgin Group’un kurucusu ve başkanı Sir Richard Branson gibi dünya gündeminde olan kişilerin onur konuğu olduğu McAfee Focus’un bu yılki onur konuğu ABD’nin 43. Başkanı George W. Bush’du. Hard 4 beyazşapka Kasım 2012 Yeni Tehditler Yeni Önlemler Gelelim teknik konulara ve teknik verilere. Konferansta yer alan her sunum güvenlik tehditlerinin ne kadar çok çeşitlendiği ve sayısının ne kadar arttığını bize gösterdi. McAfee’nin araştırma laboratuvarı McAfee Labs’a gelen malware örneği sayısının günde ortalama 200.000 olduğu açıklandı. 2012 yılının ikinci çeyreğinde iletilen toplam örnek sayısı 8 milyonun üzerinde. Teknolojik olarak bu rakamların anlamı şu: İmza bankası tekniği ile atakları bulmak ve durdurmak her geçen gün daha da zor olacak. Bu rakamlar sadece McAfee’ye iletilen örnek rakamları. Kimbilir bilinmeyen kaç malware yaşamını sürdürüyor? McAfee bu rakamları açıklayarak iki konunun üzerine basıyor. Biri McAfee Global Threat Intelligence (GTI) diğeri Whitelisting teknolojileri. McAfee GTI itibar temelli bir güvenlik sistemi. Örneğin 10 saniye önce Avustralya’da tespit edilen bir malware’i McAfee ürünlerimiz güncellemeye ihtiyaç duymadan hemen tanımlayabiliyor ve engelleyebiliyor. GTI sorgulaması bir DNS Query paketi ile yapıldığından ve büyük ağlar için bir GTI Proxy yazılımı bulunduğundan sisteme getirdiği yük gözardı edilebilecek kadar az. GTI sistemi kullanılarak dosya, IP, URL, alan adı ve uygulama itibarı bilgileri Antivirus, NIPS, Integrity Control, Web Gateway, Mail Gateway ve SIEM gibi birçok McAfee ürünü tarafından sorgulanabiliyor. GTI hakkında bloklamayı içermeyen güzel bir örnek daha vermek istiyorum. GTI atak yapan IP adreslerini de barındırıyor ve SIEM ürünü ile entegre çalışabiliyor. McAfee SIEM kullanarak web sitenize bağlanıp işlem yapan IP adreslerini gerçek zamanlı otomatik bir sorgulamaya tabi tutabilir ve örneğin Internet bankacılığında işlem yapan bad–reputation IP adreslerini otomatik olarak görebilirsiniz. Aynı şekilde e–ticaret sitenizde alışveriş yapanların IP adres itibarlarını görebilirsiniz. Whitelisting (Beyazliste) teknolojisi ise daha basit ve etkili bir yöntem. Bildiğimiz güvenlik ürünlerinin neredeyse tümü karaliste yöntemini kullanıyor. Listeye yazılan kötü kodlar ve uygulamaları bulup durdurmaya çalışan bir yöntem. Beyazliste yönteminde ise tam tersini yapıyoruz. Sadece kullandığımız uygulamaların çalışmasına izin veriyoruz. Bunlar haricinde kalan legal veya illegal tüm yazılımların ve tüm kodların çalıştırılmasını yasaklıyoruz. Bu sayede sunucumuzda, istemcimizde veya ATM cihazımızda bulunan bir güvenlik açığını kullanan exploit gelse bile çalışması mümkün olmuyor. File Integrity Control/Monitor özelliğini de barındıran bu ürünlerin PCI tarafından zorunlu tutulduğunu hatırlatmak isterim. entegre çalışıp uzaktan yönetim işlemlerimizi kolaylaştırıyor. Örneğin bozulmuş bir Master Boot Record (MBR) uzaktan Deep Command ile onarılabiliyor ve uzaktan KVM monitoring mümkün hale geliyor. Bu yıl ise yeni bir entegrasyonun tanıtımı yapıldı. McAfee’nin disk şifreleme yazılımı McAfee Endpoint Encryption for PCs (EEPC) versiyon 7’de Intel i5 ve i7 işlemcilerle birlikte çalışacak. Bu işlemcilerde bulunan AES– NI çipleri disk veya dosya şifreleme işlemlerini çip seviyesinde yapacak ve bu sayede sıfıra yakın bir gecikme ile şifreleme işlemleri tamamlanmış olacak. SIA Teknoloji Ortakları McAfee geçmişte Security Risk Management (SRM) olarak adlandırdığı birlikte çalışma platformunu “Security Connected” sloganı ile genişleterek devam ettiriyor. Yüzlerce güvenlik ürünü McAfee’nin ürünleri ile teknoloji birlikteliği yapıyor. Bir çoğu McAfee’nin efsanevi yönetim konsolu ePO ile yönetilip raporlanabiliyor. McAfee Security Innovation Alliance (SIA) adı verilen bu teknoloji ortaklığı programı üyesi üreticilerden bazıları McAfee Focus 12 konferansına sponsor oldular. Nebula müşterilerinin bazılarının kullandığı veya haberdar olduğu Accuvant, SAIC, Firemon, Cyber–Ark, FireEye, ForeScout, Core Security, Crossbeam, TITUS ve Avecto gibi onlarca şirket McAfee ile entegre çalışan ürünlerini konferans katılımcılarına tanıtma şansı buldu. Intel&McAfee İşbirliği Konuyu McAfee’nin Intel tarafından alınması ve buna paralel olarak geliştirilen teknolojilere getirmek istiyorum. Yukarıda okuduğunuz rakamlar genel olarak malware sayılarını gösteriyor. Başımızın belası olan Rootkit tehditleri ise biraz daha farklı bir konu. Rootkit işletim sistemine kendini legal bir yazılım veya driver gibi tanıtıp güvenlik yazılımlarınca tespit edilmeden faaliyet gösteren malware yazılımlara verilen ad. Intel McAfee’yi satın aldıktan sonra birlikte geliştirdiği Deep Defender ürünüyle boot öncesi ve boot süreci kontrolleri yaparak Rootkit’lerle mücadele edebiliyor. Rootkit problemi bilgi güvenliği sektöründe yeterince tanınmadığı ve riskin büyüklüğü anlaşılmadığı için bu ürünün piyasaya yayılmasının uzun zaman alacağını düşünüyordum ancak konferansta gördüğüm rakamlar fikrimi değiştirdi. Sunumlarda McAfee Labs’ın günde ortalama 3500 kernel mode rootkit malware’ini tespit edip Deep Defender ile engellediği gösterildi. Rootkit gerçeğini bilenler için bu rakam gerçekten ürkütücü ve açıkça Deep Defender yazılımının sandığımdan çok daha hızlı biçimde piyasada yerini alacağının habercisi. Geçtiğimiz yıl McAfee Focus konferansında Intel ve McAfee işbirliğinin bir parçası olarak Deep Defender ve Deep Command yazılımlarının tanıtımı yapılmıştı. Deep Defender’dan çok kısa bahsettim. Deep Command ise Intel AMT teknolojisi ile McAfee Focus 13 McAfee Focus 13 konferansı için çalışmalara çoktan başlandı. Önümüzdeki haftalarda McAfee Focus 13 konferansının tarihi açıklanacak. Her zamanki gibi Ekim ayının üçüncü haftasında 22–24 Ekim tarihleri arasında olmasını bekliyoruz. Bu yılki konferansın sunumlarını temin etmek veya McAfee Focus 13 konferansı hakkında bilgi almak için bizi arayabilirsiniz. Ayrıca McAfee Focus konferansının web sitesini inceleyebilir ve Facebook sayfasından konferans video ve fotoğraflarına erişebilirsiniz. http://www.mcafeefocus.com http://www.facebook.com/FOCUSConference Kasım 2012 beyazşapka 5 Erkan Şen erkan.sen@nebulabilisim.com.tr Veri Bütünlüğü, Şifreleme ve Güvenlik Standart uygulamaları ve yönetmelikler sizin ve müşterilerinizin güvenliğini arttırıyor. Bu standartlara tabii olmasanız dahi… Web sayfalarından, internet bankacılığı ve çevirim içi alış– veriş sitelerinin sipariş sayfalarına kadar hepimiz aşinayız SSL sertifikalarına. Son kullanıcıların birçoğu da sertifika kullanılan sitelerin doğruluğunu kontrol eder durumda artık. En azından yeni bir özellik olarak gelen Genişletilmiş Doğrulama (Extended Validation) sayesinde sertifika kullanan sitelerde yeşil rengi arar olduk. Bu güvenlik bilincinin oluşması adına güzel bir gelişme. SSL sertifikası dediğimiz şey, her gün kullandığımız sistemlerin elektronik belgelerin imzalanmasında SSL sertifika kullanımı çok kısıtlıdır. Hele ki konu, ilgili web sitelerinin arka planında kullanılan veri tabanlarının ve uygulamaların güvenliğini sağlamaya gelince iş tamamen çıkmaza giriyor. Standartlar ve yönetmelikler PCI–DSS, Cobit gibi standart ve yönetmeliklere tabii kurumlar bu tarz bilgi güvenliği önlemlerini zaten almak zorundalar. Örneğin web sitesi üzerinden kredi kartı ile satış yapan bir kurum PCI–DSS standardı gereğince en azından kredi kartı sahibinin bilgilerini iletişim ortamı boyunca şifreli olarak taşımakla yükümlüdür[1]. Bunun dışında eğer kurum, kredi kartı verisini sistemi üzerinden geçirmekle kalmayıp aynı zamanda bu veriyi saklıyorsa, veriye ulaşanları denetlemeli ve kayıt altına almalı [2], veriyi güvenli bir şekilde saklamalı[3] yani şifreleme ya da maskeleme gibi teknikler kullanmalıdır. Herhangi bir standarda uyma zorunluluğum yok, o halde güvendeyim! söylediği şeylerin doğru olduğu ve gerçekten onlar tarafından söylendiğinin kanıtlarıdır. Şöyle ki; bir internet bankacılığı sitesinden işlem yapmaya kalktığınızda adres barında gördüğünüz yeşil renk ve kontrol ettiğiniz doğrulanmış bir sertifika, doğru sunucu ile konuştuğunuzu ve sunucunun size söylediği/sağladığı bilgilerin doğru olduğunu gösterir. (Son zamanlarda sertifika otoritelerinin yaşadığı sorunları bir kenara bırakıyoruz.) SSL sertifikalarından ötesi Buraya kadar olan kısmı herkes biliyor ve kullanıyor zaten. Ancak bunun dışında kalan sistemler için aynı şeyi söyleyemiyoruz. Örneğin e–postaların imzalanması ya da şifrelenmesinde, 6 beyazşapka Kasım 2012 Yukarıdaki gibi illa ki bir standarda tabii olmamız gerekmez. Buradaki esas nokta veri merkezimizde ve sunduğumuz hizmetlerde bizim için kritik bilgilere sahip olup olmadığımızdır. Örneğin sürekli yanımızda bulundurduğumuz taşınabilir bilgisayarımızdaki veriler bizim için önemliyse onların da güvenliğini ve bütünlüğünü sağlamak öncelikli olmalıdır. Bunu sağlamak için sistemlerin gerek diskini gerekse önemli dosyalarını şifrelemek yeterli görünebilir. Peki, gerçekten öyle mi? Bu soru aslında bilgi güvenliğine nasıl bakıldığı ve ihtiyaçların neler olduğuyla çok yakından ilgilidir. Bilgi güvenliği bir süreç olarak ele alındığında alacağımız önlemlerin istediğimiz güvenlik seviyesini sağlayıp sağlamadığının aynı zamanda süreçlerin işleyişle de alakalı olduğunu görürüz. İletişim ve talimat verme aracı olarak e–postalar Örneğin bizim için kritik bir bilginin elektronik posta ile bir başkasına iletilmesi süreci göz önüne alındığında salt disk ya da dosya şifrelemenin bizim için yeterli bir çözüm olamayacağı ortadır. E–postanın sadece ilgilisi tarafından okunabilmesi ya da gönderen kişinin yazdıklarının değişmezliği için elektronik olarak imzalanması gerekliliği karşımıza yeni ihtiyaç ve çözümlerin varlığını çıkartır. Günümüzde bankacılık işlemlerinden teknik destek işlerine kadar birçok işlem elektronik postalar vasıtasıyla görülmekte. Bunun için birçok kurum insan faktörlü doğrulama teknikleri kullanıyor. Ancak sosyal mühendislikle bunların aldatılabileceği asla unutulmamalıdır. Bu nedenle bu örnekte de olduğu gibi doğrulama için kullanılabilecek en basit ve etkili yöntem dijital imzalama, eklenen verinin kriptolanması ve benzeri çözümlerdir. Standartlar sizi bağlamasa dahi... Standartlar bazı bilgiler dışındaki bilgilerin güvenli taşınma ve saklanmasını zorunlu tutmasa dahi sizin için kritik olan bilgilerin güvenliğini sağlamak hayati olabilir. Yaşanmış örneklerden hareket edecek olursak; Bir kimyagerseniz ve fabrikanızda kullanılan kimya formüllerini herkesin okuyabileceği ve erişebileceği bir şekilde sunucularınızda ya da taşınabilir bilgisayar gibi cihazlarınızda barındırıyorsanız büyük bir risk taşıyorsunuz demektir. Ya da bir bankada müşteri temsilcisiyseniz ve bilgisayarınızdan herkesin okuyabileceği formatta sakladığınız müşteri bilgileriniz çalınacak olursa bu sizin adınıza hiç de iyi bir haber olmaz. Erişim kontrolü ve yetkilendirme konusu Verilerin güvenliği konusunda en sık yapılan yanlış; verilerin bilgisayarlardaki kullanıcı adı ve parolalarla güvenliğinin sağlanabildiği yanlışıdır. Örneğin; veri tabanında bulundurulan bilgilerin her zaman güvende olduğu gibi yanlış bir kanı mevcuttur. Ancak bilgi güvenliği çok katmanlı bir yapıdır ve yaşayan bir süreçtir. Veri tabanı sunucunun kullanıcı adı ve parolası ile girişleri kontrol altında tutması verinizin yüzde yüz güvende olduğu anlamı taşımaz. 2. İlgili veri tabanına erişebilecek uygulamalar izleniyor, yetkilerine göre kontrol ediliyor ve çeşitli kurallara göre mi çalıştırılıyor? 3. Veri tabanınız yedekleniyor mu? Yedekleniyorsa kritik verilerin açık (herkesin okuyabileceği) bir şekilde yedeklenmediğinden emin misiniz? 4. Sistem yöneticilerinin, veri tabanı yönetim araçları gibi araçlar ile ilgili verilere erişimi kısıtlanmış durumda mı? 5. Veri tabanı sunucunuz güvenlik açıklarına karşı düzenli olarak denetleniyor ve üretici yamaları düzenli olarak geçiliyor mu? 6. Veri tabanı sunucusu ile istemciler arasındaki ağ trafiği kriptolu bir şekilde mi işliyor? 7. Sıfırıncı gün açıklarına karşı bir korumanız var mı? Bu liste daha da uzatılabilir. Ancak önemli olan yukarıdaki ve benzer sorulara altı dolu cevaplar verebilmektir. Veri bütünlüğü ve güvenliğinin sağlanması konusunda bazen PCI–DSS, Cobit ve ISO 27001 gereği önlemler alırken bazen de standartlar zorunlu tutmasa dahi daha güvenli süreçler işletebilmek adına çeşitli önlemler almak gerekir. Defaten söylediğim gibi bilgi güvenliği yaşayan bir süreçtir. Bu süreci otomatikleştirmek işleri fazlasıyla kolaylaştırmakla birlikte, bu planlamaların tamamının bizim elimizde olması dolayısıyla “insan”, bilişim/bilgi güvenliğinin anahtar kavramıdır. Güvenli günler. Basit bir örnek Müşterilerinize ait çok kritik bilgilerin bulunduğu bir veri tabanınız olduğunu düşünün. Bu verilere erişimi bir uygulama vasıtasıyla gerçekleştiriyorsunuz ve ilgili uygulamaya da bir kullanıcı adı ve parolasıyla giriş yapıyorsunuz. Peki, bu ilgili verilerin güvenliği adına yeterli midir? Aşağıdaki soruların hepsinin cevabı evetse… 1. Veri tabanınıza erişen kullanıcılar ve yaptıkları işlemler kayıt altında tutuluyor mu? Notlar: [1] PCI–DSS Madde 4 Encrypt transmission of cardholder data across open, public networks [2] PCI–DSS Madde 7 Restrict access to cardholder data by business need–to–know [3] PCI–DSS Madde 3 Protect stored cardholder data Kasım 2012 beyazşapka 7 Tarkan Çiçek tarkan.cicek@nebulabilisim.com.tr Veeam–2: Sanal Sistem Yedekleme ve Replikasyon Çözümü İkisi bir arada; Backup + Replikasyon Geçen sayıda yarıda bırakıp replikasyonu bu sayıda devam edeceğimizi söylemiştim. Öncelikle replikasyonun ne olduğunu anlatmakta fayda görüyorum: Replika veya replikasyon kelimesini bilişim dünyasında çokça kullanmamıza rağmen ne yazık ki TDK Türkçe sözlükte bulamadım. Yani resmi olarak bu kelimelerin Türk Dil Kurumu’na göre bir karşılığı yok. Teknik terimler sözlüğünde ise Eşlem, Kopya olarak karşılık verilmiş. Uzatmadan anlamlarını İngilizceden çevirerek devam edeyim. Replica bir ürünün birebir kopyası anlamına geliyor. Bilinen bir resmin veya bir heykelin replikası en çok rastlanılan örnekleri. Bilişim dünyasında ise bir sunucunun veya disk alanının anlık kopyasının (snapshot) alınarak bir başka yerde birebir oluşturulması anlamında kullanılıyor. Belli işlemlerin de aynı anda farklı yerlerde çalıştırılması veya aynı yerde farklı zamanlarda tekrarlanmasına da replikasyon deniliyor. Burada anlatacağımız konu ise sanal sunucuların replikasyonu. Sunucu replikasyonu İş Sürekliliği, Felaket Kurtarma, Sistem Klonlama gibi farklı amaçlar için kullanılabiliyor. Veeam’in bu işi nasıl yaptığına gelecek olursak; dağıtmak ve performansı artırabilmek için birden fazla backup sunucusu kurmak gerekiyordu. Yeni yapı ile backup sunucusu otomatik olarak gerektiği kadar proxy sunucu oluşturarak yük dağılımı yapabiliyor. Konu replikasyon olduğunda Veeam kaynak taraftaki proxy sunucularına ek olarak hedef tarafta da proxy sunucular oluşturuyor. Böylece replikasyonun performansı en üst seviyede tutulabiliyor. Çalışma şekli ise şu şekilde: Veeam 6 versiyonu ile birlikte (yakında 6.5 çıkacak) backup sunucusu üzerindeki parçaları ayırarak performansını ve ölçeklenebilirliği en üst düzeye çekti. Önceki versiyonda yükü Veeam backup sunucu kontrolündeki Veeam kaynak proxy sunucusu, replikası alınacak olan sunucuya belirlenen şekilde erişip (Lan, San veya Vm hot–add) kaynak sunucunun değişen bloklarını tespit ederek okur. Vmware için bu işlem CBT yani ChangedBlockTracking ile gerçekleştirilirken, Hyperv’de böyle bir 8 beyazşapka Kasım 2012 özellik olmadığından Veeam’ in kendi ara uygulamasının Hyper–v hostlara yüklenmesi gerekir. Veeam proxy okuduğu bilgileri tekilleştirir ve sıkıştırarak hedef proxy sunucusuna gönderir. Hedef proxy sunucusu ise gelen bilgiyi açar (decompress) ve hedef sistem üzerinde yeni bir geri dönüş noktası (restore point) olarak yazar. Bu geri dönüş noktaları hypervisor tarafında snapshot olarak görünecek şekilde kaydedilirler. Bu şekilde Wan bağlantısı üzerinden çok az bir veri geçirilmesi sağlanmış ve en kısa sürede replikasyonun gerçekleşmesi sağlanmış olur. Bu işlemlerin tamamı ayarlanabilir özelliklere sahiptir. Yani sıkıştırma, tekilleştirme, wan optimizasyonu gibi özellikler detaylı olarak ayarlanabilir. Böylece backup sunucunun performansı veya wan bağlantısının hızına göre farklı ayarlamalar yapılarak sistemin en iyi performansta çalışması sağlanabilmektedir. Veeam, yarattığı replikalar ile failover ve failback yapabilmektedir. Yani istenildiğinde Felaket Kurtarma Merkezi üzerindeki sunucular ile çalışmaya geçilip, istenildiğinde de Felaket Kurtarma Merkezi üzerindeki aktif edilmiş sunucular üzerinde değiştirilmiş olan bilgileri Merkeze doğru aktararak tekrar merkezden çalışmaya devam etmek mümkündür. Bunu bir kaç örnek ile açıklayalım; Failback: FKM üzerinde çalışmakta olan sunucunun son durumunun bir snapshot’ı alınarak Merkez’deki Vm’e değişen bilgiler yani ilk failover işlemi bağlanıcında alınan snapshot ile failback işlemine kadar olan zamandaki değişen bilgiler geri gönderilerek Merkezdeki sunucunun son duruma gelmesi sağlanır ve sunucu power–on yapılarak son durum ile merkez üzerinden ayağa kaldırılır. Eğer bu işlem sırasında Merkezdeki sunucu tamamen silinmişse iki işlemden biri gerçekleştirilir: 1. Merkezdeki son yedekten sunucuyu geri dönmek ve replika sunucu üzerindeki farkları transfer etmek. 2. Full replikasyon ile tüm bilginin geri taşınması. Replikasyon hakkında anlatacaklarım bu kadar. Hyper–v ve Vmware kullanımı ve prosedürleri biraz farklılıklar gösterebiliyor. Failover: Orijinal Vm’e erişim kesilerek failover işlemi başlatılır. Bu işlem ile FKM’deki sanal sunucunun son durumunu koruması amacı ile yeni bir snaphot’ının alınması ve ardından power–on yapılarak çalıştırılmasıdır. Bu işlem sırasında gerekli IP ayarlamaları da otomatik olarak Veeam tarafından gerçekleştirilir. Kullanıcılar son replika zamanındaki hali ile sunucuyu kullanabilirler. Bunlarla ilgili sorularınız için tarkan.cicek@nebulabilisim.com.tr adresim üzerinden bana ulaşabilirsiniz. Kasım 2012 beyazşapka 9 İrfan Kotman irfan.kotman@nebulabilisim.com.tr Underground Size gelen bir e-postanın orijinal olduğuna emin misiniz? İnternet teknolojisinin hayatımıza girmesiyle beraber e–postalar okul yaşantısından, iş yaşamından, sosyal paylaşımlardan, özel hayatımıza, günümüz dünyasının önemli bir aktörü haline geldi. Özellikle iş yaşamındaki hemen hemen bütün yazışmalar artık e–postalar üzerinden gerçekleşmektedir. E–posta trafiğinde oluşabilecek bir kesinti veya e–postalar ile ilgili kayıplar şirketler açısında gitgide kabul edilemez seviyeye ulaştı. Hayatımızın bu kadar içine girmiş e–postaların değişmeden bize ulaştığından emin miyiz? Genel olarak iş hayatındaki birçok kullanıcıya bu soruyu yöneltirseniz, e–postaların güvenli bir iletişim aracı olduğunu, kendilerine gelen e–postaların herhangi bir değişikliğe uğramadan ellerine ulaştığını söyleyeceklerdir. Birçok noktadan bakıldığında bu konuda haklı oldukları düşünülebilir. Çünkü e–postalar ile ilgili kullanıcıların en çok karşılaşılan güvenlik problemi “kullanıcı adı” ve “şifre” bilgilerinin ele geçirilmesi ile meydana gelen sıkıntılar olmaktadır. Fakat kullanıcılar tarafından daha da tehlikeli olabilecek bir durum göz ardı edilmektedir. E–postalar üzerinde kullanıcılar tarafından fark edilmeyecek değişikliklerin oluşması riski. Bu sayımızda e–postaların nasıl değiştirilerek kullanıcılara ulaştırılabileceği hakkında kısa bir örnek gerçekleştireceğiz. E–posta oynamalarında genel olarak uygulanan işlemler, e–postanın çeşitli yöntemler ile kullanıcıya ulaşmadan ele geçirilmesi, istenilen değişikliğin yapılması ve kullanıcıya değiştirilen e–postanın gönderilmesidir. E–postanın ele geçirilmesi sırasında kullanılan yöntemlere birkaç örnek verecek olursak DNS üzerinde yapılacak değişikler ile e–postanın farklı bir noktaya iletilmesinin sağlanması, network trafiğine hacking araçları kullanılarak müdahale edilmesi sonucunda e–postanın ele geçirilmesi veya e–posta sunucusu üzerinde e–postayı ele geçirilmesi ve kullanıcıya yollanmasıdır. Biz paketleri ele geçirmek için güvenlik duvarı ile e– posta sunucusu arasına girerek trafiği kendi üzerimize yönlendirmeyi tercih ettik. E–posta trafiğinin büyüklüğüne göre saniyelik yönlendirmeler ile onlarca e–posta bu şekilde ele geçirilebilir. 10 beyazşapka Kasım 2012 İlerideki sayılarımızda bu tip ataklar ile ilgili birkaç küçük örnek gerçekleştireceğiz. E–posta ele geçirme senaryomuz: Kullanıcı tarafından bir satıcıya banka hesap bilgilerinin istendiği bir e–posta yollanmıştır. Biz bu e–postaya cevap olarak satıcının banka bilgilerini yazdığı e–postayı ele geçirip ve üzerinde istediğimiz değişikleri gerçekleştireceğiz. Aşağıda kullanıcı tarafından satıcıya atılan e–postayı görebilirsiniz. Banka hesap bilgilerinin iletildiği e–postayı ele geçirmek için kendi yazdığımız bir programı kullanacağız. Programımız e–postaları eml formatında depolamamıza ve tekrar yollamamıza imkân sağlamaktadır. İnternet üzerinde yapacağınız araştırmalar ile bu tip, birçok programa ulaşmanız mümkün olabilmektedir. İlk olarak programımızı çalıştırıyoruz ve yönlendirme sayesinde e–postayı sunucuya erişmeden ele geçiriyoruz. Aşağıda programımız tarafından yakalanan e–posta ile ilgili bilgileri görebilirsiniz. E–postayı ele geçirdikten sonra eml formatındaki dosyayı Outlook yardımı ile açıyoruz. Orjinal e–posta gönderici adresinin değişmemesi için Outlook üzerinde yeni bir e–posta adresi tanımlıyoruz ve relay hakkımız olan bir sunucuyu e–postayı yollamak için kullanıyoruz. (Bu yöntem dışında Eml formatındaki e–postayı teks dosyası olarak açıp telnet yardımı ile e–postayı kullanıcıya ulaştırabilirsiniz.) Outlook üzerine tanımlı adres yardımı ile eml formatındaki e– postayı açıyoruz e–posta üzerindeki banka hesap bilgilerini değiştirerek kullanıcıya iletiyoruz. Orijinal e–posta E–postalar üzerinde yapılacak değişiklerin engellenmesi ile ilgili kullanılan yöntemlerden bazılarını aşağıda görebilirsiniz. Kullanıcı Kontrolu (Sender Authentication) E–posta atan kullanıcın atılan e–posta sunucusu üzerinde bulunup bulunmadığının kontrol edilmesi. Ters DNS Sorgusu (Reverse DNS Lokkup) Bizim tarafımızdan adres bilgileri değiştirilen e–posta E–postanın yollandığı alan adının sahip olduğu DNS bilgilerinin e–postanın geldiği adresteki DNS bilgilerinin karşılaştırılması ve uygunsuzluk görülür ise e–postanın reddedilmesi. TLS Protokolu Kullanımı SMTP üzerinden Aktarım Katmanı Güvenliği (TLS) protokolü kullanmak. Bu sayede sertifika tabanlı kimlik doğrulaması yapabilir ve simetrik şifreleme anahtarları kullanılarak güvenliği artırılmış veri aktarımları sağlanmasına yardımcı olabilirsiniz. Hiçbir şekilde sertifikaya sahip olmayan kullanıcının e–posta trafiğine müdahale şansı olmayacaktır. Secure/Multipurpose Internet Mail Extensions(s/MIME) kullanımı Aşağıdaki ekran görüntüsünde görebileceğiniz gibi kullanıcı tarafından e–postaya baktığı zaman, bizim tarafımızdan değiştirilmiş banka hesap bilgilerini e–posta üzerinde görecektir. Örneğimizde görebileceğiniz gibi e–posta ele geçirildikten sonra e–posta üzerinde istenilen herhangi bir bilgi değiştirilebilmektedir. Digital (Sayısal) İmza: Bilgisayarınıza yüklenecek digital imza sertifikası yardımı ile e–postanın içeriğini değiştirilmesini önleyebilir ve şifrelenmiş e–posta ile e–postanın içeriğinin farklı alıcılar tarafından görüntülenmesini engelleyebilirsiniz. Kriptolanmış e–posta: E–postanın özel ve genel anahtarlar yardımı ile kriptolanması ve alıcının bir kripto yazılımı yardımı ile bu anahtarları kullanarak kriptonun açılması esasına dayanan şifreli e–postalar ile güvenli bir şekilde e– postalarınızı yollayabilirsiniz. Kasım 2012 beyazşapka 11 Birant Akarslan birant_akarslan@mcafee.com Modern Veri Merkezi Koruması–1 Günümüzde veri merkezleri, kurumların çalışabilmesi için en önemli bileşenleri bünyelerinde bulundurmaktadırlar. Gelir yaratmak, hassas veriyi korumak, ticari kritiklik arzeden servisler sağlamak bu rollerin sadece birkaçıdır. Veri Merkezi Koruması konusu geniş bir içeriğe sahip Gelir yaratmak, hassas veriyi korumak, ticari kritiklik olduğundan iki bölüm halinde işlemeye çalışacağım. arzeden servisler sağlamak bu rollerin sadece birkaçıdır. Günümüzde veri merkezleri, kurumların çalışabilmesi için Kritiklikleri ve değerleri sebebiyle kötü niyetli kişiler için en önemli bileşenleri bünyelerinde bulundurmaktadırlar. hedef teşkil etmektedirler. Hassas veri, ticari uygulamalar, 12 beyazşapka Kasım 2012 veritabanları, ağ cihazları, depolama bileşenleri ve destekleyici altyapılar, uzun zamandır dahili ve harici saldırganlar ile düzenleyici role sahip denetçiler arasında bir kavşak görevi görmektedir. Sanal olarak her veri merkezi güvenlik konusu ve kanuni düzenleme, bir nokta çözüme işaret etmektedir. Bu reaktif süreç, her seferinde yeni nokta çözümlerin altyapıya eklenmesine yol açmakta ve veri merkezi karmaşık, yönetimini sayısız, pahalı ve birbiriyle haberleşmeyen bir hale getirmektedir. Mevcut ihtiyaçlara ek olarak yeni tehdit ve eğilimler her gün mücadele sahnemize girmektedirler. Örneğin mobilite ve Web 2.0 desteğine ihtiyacı olan veri merkezleri, aynı zamanda hedefli ve fırsatçı ataklara karşı koruma arıza ve sağlamalı, sürelerini sıklıkla tüm asgariye uyum bunları indirerek raporları üreterek gerçekleştirmelidirler. Klasik veri merkezi güvenliği, yeni ihtiyaçları, verimlilik ve etkinlik gerektiren güvenlik yönetimini, günümüzün kritik operasyonları için gerekli olan elverişlilik ve bütünlüğü, maliyet verimliliği için gerekli olan mükemmel tasarımı, hızlıca ve eksiksiz biçimde 1. Veri Merkezinin Temel Bileşenlerinin karşılayacak ticari çeviklikten yoksun olup evrilme ihtiyacı Mükemmelleştirilmesi arz etmektedir. Bugünün BT departmanları çığır açmak ve başkalarına yol göstermek zorunda olup ve tarihsel açıdan birbirine benzemeyen parçaları birleştirecek stratejik bir iskelete ihtiyaç duymaktadırlar. Veri merkezinin temel bileşenlerini aşağıdaki gibi sıralayabiliriz: • Uygulamalar: Farklı katmanlar ve uygulamalar için esnek koruma sağlanmalıdır. Veri Merkezi Teknoloji Referans Modeli • Fiziksel McAfee’nin kurumlara önerdiği veri merkezi teknoloji referans modeli, çeşitli katmanlarda koruma sağlayarak hem bütünleşik bir güvenlik altyapısına sahip olmanızı hem de veri merkezinizin temel bileşenlerinin en etkin hale gelmesini sağlayacaktır. ve sanal sunucular: İşletim sistemi, uygulamalar, dosya ve klasörler korunmalıdır. • Ölçeklendirilebilir depolama güvenliği: Uygulama elverişliliği desteklenmelidir. • Ağ Güvenliği: Geniş ağ erişimi desteklenmelidir. Kasım 2012 beyazşapka 13 Birant Akarslan birant_akarslan@mcafee.com • Yönetim (Tekil Kumanda Merkezi): Yaygın ve açık bir altyapıya sahip olmalıdır. Kurumda faaliyet gösteren uygulamalar, hem ticari hem de kurum içinde geliştirilmiş olan uygulamalardan müteşekkil olup sanal ya da fiziksel sunucular üzerinde faaliyet göstermektedirler. Örnek çalışma mekanizmasını aşağıda görebileceğimiz yapılarda şu bileşenlere dikkat edilmelidir: Farklı katmanlar ve uygulamalar için esnek koruma • Kara liste ve beyaz liste seçenekleri • Veritabanları ve Microsoft uygulamaları için özelleştirilmiş çözümler Sanal Makine Taşınabilirliği ve Göç İşlemleri • Canlı göç işlemleri için destek Hypervisor farkındalığı Sunucu yoğunluğu ve elvirişliliğini en üst düzeye çıkarma • Sadece ihtiyaç duyulan uygulamaların çalıştırılması • Sanal sunucular için antivirüs yükünün ortadan kaldırılması Daha hızlı denetim için endüstri standartlarında konfigürasyon tanımları • Politika kıyaslama, Değişiklik Politika Yönetimi, File Integrity Monitoring Ölçeklendirilebilir depolama güvenliğinde ise genel altyapıyı destekleyen güvenlik bileşenleri tercih edilmelidir: NetApp, EMC ve diğer cihazlar için kesintisiz koruma • Veri kaybı, verinin tahrifatı ve zararlı kodlara karşı kurum verilerinin korunması, ileri seviyede sezgisel yaklaşımlarla sağlanmalıdır. Merkezi yönetim, operasyonel zaman ve maliyeti düşürmektedir Maksimum veri elverişliliği için ölçeklendirilebilir mimari • Multiscanner ve multifiler konfigürasyonları sayesinde arttırılmış veri yükleri ve sanal makine imajlarına erişim desteklenmelidir 14 beyazşapka Kasım 2012 Dinamik ve katmanlı ağ güvenliği günümüzün hızla artan ihtiyaçlarını karşılayabilmelidir: Geniş Bant Ağ Erişimi • Politikanın kullanıcı, grup ve uygulama bazında yönetimi Fiziksel ve sanal varlıklar üzerinden yönetim • VM trafiği içinde gerçek zamanlı görünürlük ve tehdit tespiti İşinizin korunmasına yönelik çok katmanlı mimari 80 Gigabit’lik yüksek performans mimarisi Yönetim altyapısı merkezi olmalı, mevcut altyapılarla bütünleşmeye olanak sağlayacak açık mimariyi desteklemelidir: Yüksek Düzeyde Genişleyebilir • Değişen ticari ve pazar gereksinimlerine uyum sağlayabilir Farklı ürünleri destekleyen Uçtan uca görünürlük ve kontrol • Uygulamalar, uç noktalar, sunucular ve ağlar Fiziksel, Sanal ve Bulut üzerinde tekil yönetim • Web tabanlı arayüz sayesinde her yerden erişim Önümüzdeki sayıda yazımın devamı olarak sınır güvenliği, sanal altyapı sunucuları, veritabanı sunucuları, dosya sunucuları, uygulama sunucuları, web sunucuları ve bulut altyapısı korumasında nelere dikkat edilmesi gerektiğinden bahsedeceğim. Saygılarımla, Birant Akarslan birantakarslan@gmail.com birant_akarslan@mcafee.com Twitter: www.twitter.com/CokNetGuvenlik Facebook: www.facebook.com/CokNetGuvenlik Kasım 2012 beyazşapka 15 İrfan Kotman irfan.kotman@nebulabilisim.com.tr Observe IT / Sisteminizdeki Güvenlik Kamera Sistemi Yasal zorunluluklar, standrat uyumlulukları, sistemlerinizde bilerek ya da bilmeyerek meydana gelen kayıpların tespiti ve daha bir çok nedenle tutulan loglar ve bu loglar içinde kanıt bulmak için samanlıkta iğne arayan BT çalışanları. Şirketleri bu zorluğu görerek daha kolay kanıt bulunabilecek ve uyumluluk raporu oluştabilecek yazılımlar ortaya çıkarmaya başladılar. Sunucunuzda bilginiz dışında bir dosyanız silindi, sistemlerinizde yapılan bir konfigurasyon değişikliği sonucu sisteminizde kesintiler yaşadınız. Sunucuya bağlı kullanıcıların yaptığı işlemleri detaylı olarak bilmek istiyorsunuz. Onlarca log arasından gerekli bilginin nerede olduğunu bulmanın zorluğunu yaşıyorsunuz. Yapılan araştırmalar sistemler tarafından alınan logların sadece % 5 lik kısmının değerlendirildiği % 95’lik kısmının içindekiler ile beraber kaybolduğu ortaya koymaktadır. Bu kaybın engellenmesi firmalar farklı çözümleri ortaya koymaya başlamışlardır. Windows, Unix ve Citrix üzerindeki oturumları anlık kaydetme ve izleyebilme Sunucularınız üzerindeki tüm kullanıcı oturumlarınızı kaydedebilir ve istediğiniz zaman oturum üzerinde yapılan bütün hareketleri izleyebilirsiniz. Otomatik uygulama öğrenme özelliği sayesinde istediğiniz uygulamaları kaydedebilir veya kayıt harici bırakabilir, bazı uygulamalar üzerindeki kayıtlarını sadece yazılı olarak Observe IT üzerinde tutulmasını sağlayabilirsiniz. Windows Observe IT yazılımı bu noktada farklı bir çözümle ortaya çıkmıştır. Adli vaka olaylarında olduğu gibi çözüme en kolay ve en kesin deliller ile götürecek yöntemin, olayın meydana geldiği andaki video kayıtları olduğu düşünülerek, aynı mantığı bilişim sistemleri üzerine taşımış ve işletim sistemleriniz üzerinde video kaydı yapabilen bir teknoloji geliştirmiştir. Observe IT Observe IT yazılımı temel olarak sunucularınız üzerinde kullanıcılarınız tarafından yapılan her hareketi video olarak kaydeder ve video ile ilgili yazılı ve datylı bir kayıt oluşturur. Observe IT yardımı ile tüm uzak erişim bağlantılarınızı, Windows konsol ve Unix oturum bağlantılarınızı RDP, ICA, VMWare, SSH, Telnet ve daha fazlasını kaydedebilir ve tek bir merkezi yönetim konsolu üzerinde izleyebilir ve raporlayabilirsiniz. Observe IT Yazılımının Özellikleri Kurulum ve kullanım kolaylığı Observe IT yazılımını 10 dakika içinde sisteminize kurabilir ve kolayca öğrenebilen, yönetebilen merkezi yönetim yazılımı sayesinde kolayca gerekli kayıtlara ulaşabilirsiniz. 16 beyazşapka Kasım 2012 Unix Kolayca istediğiniz videoya ulaşma 3. parti yazılım desteği Observe IT üzerindeki kayıtlarınız üzerinde kullanıcı, uygulama, komut, dosya, URL vb. bir çok parametreye göre arama yapabilir ve kolayca ilgili kayıtlara ulaşabilir ve izleyebilirsiniz. SSH, Telnet, Terminal Services, Citrix, Remote Desktop, PC– Anywhere, VMware, VNC, Dameware vb. üzerinden yapılan bütün uzak oturumları ObserveIT kayıt etme özelliğine sahiptir. İkincil kimlik doğrulama Kullanıcı mesajları oluşturabilme, Sunucularınız üzerinde birden çok kullanıcı tarafından kullanılan hesaplara sahipsiniz. Örnek olarak sunucu üzerinde bulunan “administrator” kullanıcısı bir kaç çalışanınız tarafından kullanılıyor. Observe IT üzerinde bulunan ikinci kimlik doğrulama ile sunucunuza bağlanan “administrator” kullanıcısına, Active Directory kullanıcı ismi ya da Observe IT üzerinde oluşturulan özel kullanıcı adı ve şifresi ile ikincil bir kimlik sorgusu yapabilirsiniz. Uzak erişim yapan kullanıcı oturumlarında sunucu ile ilgili bütün bilgilendirmeleri mesaj olarak kullanıcı oturumlarında yayınlayabilirsiniz. Observe IT Agent Geniş İşletim Sistemi Desteği Observe IT yazılımı hemen hemen bütün Windows işletim sistemleri ve birçok Unix işletim sistemi üzerinde kayıt yapma şansı sağlamaktadır. Desteklediği işletim sistemleri (32 bit ve 64–bit) örneklerini aşağıda görebilirsiniz. • Microsoft Windows Server 2003/2003 R2/2008/2008 R2 Raporlama • Windows XP Pro/Vista/Windows 7 Kullanıcı, uygulama,komut, dosya, URL vb. bir çok parametreye göre raporlar oluşturabilir ve ilgili raporların ve raporlar üzerindeki kayıtların, Observe IT kullanıcılarına e–posta atılarak ilgili oturumları kolayca seyretmelerini sağlayanabilmektedir. • Solaris 10 Uyumluluklar • SuSE 10 SP2–SP4, SuSE 11 SP2 Observe IT ile PCI/HIPAA/SOX/ISO gibi uyumlulukların karşılayalamada gerekli çözüm olarak kullanabilirsiniz. Örneğin PCI maddelerinin 8, 10.1, 10.2, 10.3 ve 12 maddelerinin karşılanmasında Observe IT yazılımını kullanılabilmektedir. • Ubuntu 10.04 • AIX 5.3 • RHEL/CentOS 5.0–5.7 ve 6.0–6.2 Observe IT güvenlik kamera sistemi ile etkin bir şekilde kanıta ulaşma ObserveIT yukarıda kısaca bahsettiğimiz özellikler sayesinde etkili bir loglama ve kanıt sunma çözümü olarak sektördeki yerini almıştır. Observe IT ını http://www.observeit–sys.com/ adresinden 15 günlük deneme sürümünü indirebilir, ürün ile ilgili detaylara ulaşabilirsiniz. Kasım 2012 beyazşapka 17 Serhat Kahraman Serhat.Kahraman@prolink.com.tr Veri ve Ağ Şifreleme Çözümlerinde Güncel Yaklaşımlar ISO 27001, SOX, PCI gibi birçok standardın gereksinimleri arasında bulunan “şifreleme” veri ve ağ güvenliğinde neden gerekli? En basit anlatımı ile “şifreleme” bir verinin başka bir veriye dönüştürülmesi işidir. Bir noktadan diğer bir noktaya taşınan ya da durağan olarak saklanan verilerimizin korunmasında ve saklanmasında şifrelemenin veya diğer bir deyişle kriptografinin en efektif yol olduğu kaçınılmaz bir gerçektir. Bunun nedeni, verinin başka bir veriye dönüşmesi sırasında, hem güvenlik hem de optimizasyon anlamında bu dönüşümden işe yarayacak yöntemlerin şifreleme ile kolayca çıkarılabilmesidir. AB verisini CD olarak değiştiren bir şifreleme algoritması verinin sıkıştırılması ile ilgili optimizasyon sağlamasa da gerçek verinin korunmasını garanti etmektedir. Diğer taraftan bir mesaj içerisinde fazla sayıda bulunan karakteri daha az bitle şifrelemek verinin toplam boyutunda düşüş sağlayıp verinin sıkıştırılabilmesine de olanak sunmaktadır. Bu temel getirilerin yanında şifreleme işleminin iletilen verinin değiştirilmediğinden emin olma, doğru alıcıya ulaşmasını garanti etme gibi pek çok avantajları da bulunmaktadır. Şifrelemenin birçok güvenlik uyumluluk standardında gereksinim olmasının temel nedeni, güvenlik açısından getirileridir. Bu yazımızda daha çok şifrelemenin güvenlik açısından faydalarını ve kullanılan en son yöntemleri irdeleyeceğiz. Kişilerin yetkisi olmadığı veriye erişimini engellemek için yetkilendirme ve kimliklendirme gibi birçok önlem alınır. Tüm önlemlere rağmen yetkisi olmayan kişilerin veriye yetkisiz olarak erişebilme veya verilerin çalınması ihtimali az da olsa vardır. Bu ihtimale karşı, veri yetkisiz kişilerin eline geçtiğinde de korunabilmelidir. Doğru bir şekilde yapılandırılan şifreleme sistemi ile sadece yetkisi olan doğru kullanıcı ya da uygulamanın veriye erişimine izin verilebilmektedir. Verilerin korunması alanındaki ihtiyaçların çözümü için proaktif bir yaklaşım izleyen bir firma var. Devlet kuruluşları ve Fortune 100 şirketlerinin en 18 beyazşapka Kasım 2012 fazla tercih ettiği PKI altyapı sağlayıcısı olan, toplamda 80 Milyon üzerinde kripto anahtarı koruyan SafeNet, bilginin yer aldığı ( veritabanı, dosya, klasör, bulut teknolojileri, yüksek hızlı veri hatları vs.) her noktada onu koruyacak çözümler üretmektedir. SafeNet bilgiyi korumak, onu risklere karşı güvence altına almak ve yönetmeliklere (PCI DSS, HIPAA) uyum sağlamak için kapsamlı güvenlik çözümleri sunmaktadır. Dünya üzerinde elektronik ortamda taşınan paranın %80’i SafeNet tarafından korunuyor. Günde yaklaşık $1 trilyon elektronik para transferi yapan SWIFT, alt yapısında SafeNet ürünlerini kullanmaktadır. En gelişmiş şifreleme yöntemlerini kullanan SafeNet çözümlerini aşağdaki gibi sıralayabiliriz. Uygulama Verilerini Korumak Uygulamaların kullandığı verilerin güvenliğinde riskin azaltılması için oluşturulan veya bir kaynaktan alınan iş kritik verilerin güvenli ve doğru veriler olduğundan emin olunması çoğunlukla gerekir. Özellikle istemciler ile haberleşen uygulamalara sahip sistemler için uygulama iletişiminde güvenliğin sağlanması gerekliliği ortaya çıkmıştır. Sosyal güvenlik/kimlik numaraları, banka bilgileri, ehliyet bilgileri gibi verileri toplayan veya gönderen ERP, CRM, HCM gibi uygulamalar için özel üretilmiş şifreleme çözümlerinden Safenet ProtectAPP, uygulama programlama arayüzü ve kütüphaneleri sayesinde daha pek çok uygulama ile entegre olabilmektedir. Veritabanı Güvenliği Safenet ProtectDB çözümü Oracle dahil olmak üzere bir çok veritabanını versiyonlarından bağımsız bir şekilde destekler. Bilgilerinizi, sütun ve/veya tablo bazlı şifreleme imkanı sunar. Ayrıca Datasecure platformu ile yalnızca veritabanı şifreleme işlemlerini değil, kripto anahtarlarınızın yönetimi, dosya şifreleme, uygulama seviyesinde şifreleme gibi bir çok kripto işlem ihtiyacınızı karşılayabilirsiniz. Ayrıca Tokenization tekniği sayesinde uyumluluk standartlarını daha kolay sağlayabilir ve toplam sahip olma maliyetlerinizi düşerebilirsiniz. Depolanmış Verilerin Korunması Dosya paylaşım sistemleri, veri depolama ortamları gibi yoğun miktarda bilgi saklayan sistemlerde barındırılan bilgilerin güvenliğini sağlamak gerekmektedir. Bu bilgilerin dosya/klasör seviyesine kadar şifrelenmesi ile güvenlikleri sağlanabilmektedir. SafeNet StorageSecure, bilginin ulaşılabilirliğini azaltmadan, güvenlik politikalarına uygun olarak AES methodu ve NFS, CIFS gibi protokoller sayesinde verilerinizi şifreleyebilmektedir. Sanallaştırılmış Ortamlarda Veri Güvenliği Safenet ProtectV sanallaştırılmış ortamlarda şifreleme çözümü sunarak kurumların public/private bulut sistemlerini güvenli olarak kullanabilmesini sağlamaktadır. Amazon WebServices (AWS) EC2 ve Virtual Private Cloud (VPC) destekleyen SafeNet ProtectV aynı zamanda VMware ile entegre kullanılabilmektedir. Gelişmiş grafik kulanıcı arayüzü ile sistem izleme, sanallaştırılmış ortamların güvenlik politikalarının oluşturulması ve olay yönetimi gibi fonksiyonları sağlayan ProtectV bulut altyapısında şifreleme kullanılmasını kolay hale getirmektedir. Ağ Şifreleme Durağan verilerin korunması, toplam güvenliği sağlamak noktasında yeterli değildir. İki nokta arasında akan verinin de şifrelenmesi ihtiyacı ortaya çıkmıştır. Bu amaç doğrultsunda Layer 2 seviyesinde gecikmesiz şifreleme gerçekleştiren sistemler kullanılmaktadır. Safenet High Speed Ethernet (HSE) Encryption çözümleri bu amaç için üretilmiş, Layer 2 bağlı lokasyonlarınız arasındaki veri akışını güvenli hale getirebilecek özel donanımlardır. Kurumsal Kripto Yönetimi audit ve raporlama özellikleri sayesinde kurumsal şifreleme operasyonlarınızın yönetimini eksiksiz yerine getirebilmektedir. Kurumsal Anahtar Yönetimi Kurumların birden fazla şifreleme sistemini ve bu sistemlerin farklı özellikteki anahtarlarını yönetebilmek için kurumsal anahtar yönetimi kavramı kritik bir ihtiyaç olarak ortaya çıkmıştır. Kurumların anahtar yönetimi ihtiyaçlarını karşılamak için SafeNet, Enterprise Key Management (EKM) çözümleri bulunmaktadır. OASIS KMIP 1.0 (Key Management Interoperability Protocol) standardına uygun geliştirilen SafeNet KeySecure çözümü, şifrelemede kullanılan tüm anahtarların yönetimini sağlar. Bu çözüm SafeNet şifreleme çözümlerinde kullanılan anahtarların yanında Brocade SAN Encryption switchleri, Hitachi native array encryption, NetApp NSE (Full Disk Encryption) gibi NAS çözümlerinde, HP Enterprise Systems Library (ESL) G3 ve SafeNet HSMler gibi Anahtar yönetimi uyumluluğuna ihtiyaç duyan pek çok sistemle entegre çalışabilmektedir. Güvenli Kripto Anahtarları İçin HSM Kullanılacak anahtarların güvenli bir biçimde oluşturulması ve saklanması amacıyla bu iş için özel tasarlanmış dedike donanımlara ihtiyaç duyulmaktadır. FIPS 140–2 Level 3 onaylı, çeşitli ürün ailelerinde de CC EAL 4+ sertifikalı SafeNet Hardware Security Module (HSM) cihazları kurumların kriptografik anahtarlarını oluşturup saklayabilecekleri güvenli bir ortam oluşturmaktadır. Serhat Kahraman – Kıdemli Sistem Mühendisi – Prolink Kaynaklar: www.safenet–inc.com, mgulyurt.wordpress.com, www.sciencedaily.com Kurumsal kripto yönetimi, hassas bilgilerin nerede olursa olsun güvenliğini sağlamak için şifreleme kullanan bir kurumun önemli bir aracıdır. Bu tip önemli bir bileşenin tüm kripto operasyonlarını yönetebilmek ve izleyebilmek için yüksek seviyede yedekliliği ve ölçeklenebilirliği olmalıdır. Safenet Datasecure donanımı, kullanıcı seviyesine kadar politika tanımlayabilme, merkezi loglama, Kasım 2012 beyazşapka 19 Yusuf Aydın Kale Holding A.Ş. Kurumsal Ağ ve Güvenlik Yöneticisi Nebula ekibi ile ilk defa yaklaşık 5 sene kadar önce çalışma fırsatı yakaladım. Bilindiği üzere Türkiye’deki bilişim sektöründe hizmet veren firmaların genelinde hizmet yönünden stabilite problemi baş göstermektedir. Nebula’yı öne çıkaran en önemli özelliklerden birisi, alınan hizmetin her zaman en üst düzeyde olması ve bunun sağlanabilmesi için kendilerinin de sürekli geliştiğini ve iş süreçlerini geliştirdiklerini görmemizdir. Gerek servis hızları gerekse teknolojinin en güncel halini her zaman sunabilmeleri kendilerini seçim listelerinde yukarı sıralara taşımaktadır. Grup bilişim ağımızın genelinde hizmet aldığımız Nebula ile birlikte gönül rahatlığı içerisinde çalışabiliyoruz. Ekip çalışanlarının da aynı bilinç düzeyinde firmalarını sahiplenmesi, sektörü çeşitli kanallardan bilgilendirme ve bilinçlendirme çalışmaları yapmaları, tanınan bir şirket olmalarına ve güçlü referanslar edinmelerine imkan sağlamaktadır. Sinan Güder Komtera Bilişim Teknolojileri Satış Müdürü Nebula Bilişim bilgi güvenliği alanında uzmanlaşmış, bu işe dedike olmuş ve en önemlisi etik iş ahlakına sahip sektörün öncü firmalarındandır. Sundukları çözümleri öncelikle kendi sistemlerinde kullanmaları, çözüm odaklı çalışmaları, Beyaz Şapka gibi Türkiye’de bilgi güvenliği farkındalığına son derece önemli katkısı bulunan projelerle kalitesini ve farklılığını göstermiş bir firmadır. Genç ve dinamik bir ekip olmaları, sürekli kendilerini geliştirmeleri, teknik yeterliliklerinin üst düzeyde olması benim açımdan başarılarının sırrı olarak tanımlanabilir. Dağıtıcısı olduğumuz ürünlerde satış öncesi ve sonrası vermiş oldukları destekler sayesinde sayısız güzel projeye Nebula ekibi ile birlikte imza atma imkanı yakaladım. Bu keyifli iş ortaklığı için kendilerine teşekkür ediyorum. SPONSORLARIMIZ www.nebulabilisim.com.tr Beyaz Şapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teşekkür ederiz. Yay›nlanan yaz›lar›n ve görsellerin tüm sorumlulu€u yazarlar›na aittir. Lütfen her konuda fikrinizi yaz›n. www.nebulabilisim.com.tr info@nebulabilisim.com.tr