.net Güvenli¤i
Transkript
.net Güvenli¤i
beyaz sapka A⁄USTOS 2006 Bilgi Güvenli¤i Platformu Beyaz fiapka’ya abone olmak için web formumuzu doldurabilirsiniz. www.beyazsapka.org BU SAYIDA Befl Güvenlik Mimarisi Hatas› (2-3) Microsoft Forefront (4-5) McAfee’nin “Az Bilinen Yerleri” (6-7) Masaüstü Güvenli¤inde Yeni Yaklafl›mlar - 8 .net Güvenli¤i Sektörde çal›flt›¤›m›z birçok projede, bafllang›çta projenin özellikleri, ifllevsel gereksinimleri, zaman tablolar›, kod analizleri, gözden geçirmeler, uyarlamalar, yerellefltirmeler, kurulum ve nihayet güvenlik konular› ile ilgili detayl› bir doküman haz›rlan›r. Bu dokümanlarda, genellikle güvenlik en önemli unsur olarak nitelendirilmesine ra¤men, nedense zaman içerisinde projenin sonlar›na do¤ru ötelenir. Sak›n yanl›fl anlamay›n bunu her proje için söylemiyoruz ama günlük ifllemlerimizi, gizli bilgilerimizi emanet etti¤imiz bir çok yaz›l›m›n güvenlik katmanlar›n›n yamalar fleklinde yap›ld›¤› da bir gerçek. Güvenlik, bafll› bafl›na bir bilim dal› haline gelmek üzere. Dünyan›n elektronik altyap›ya bu kadar ba¤›ml› oldu¤u günümüzde bilgisayar sistemi, güvenlik altyap›s› sistemlerin esas› olmaya bafllad›. Öncelikle tamamen güvenli bir sistem olmayaca¤›n› belirtmek gerek. E¤er bilgisayar›m›z ve yaz›l›m›m›z herhangi bir flekilde kullan›ma aç›k ise güvenlik aç›klar› da çeflitli yerlerden geliyor demektir.Yaz›l›m›n›z›n güvenli olmas› tabii ki flart ancak yeterli de¤il; üzerinde çal›flt›¤› platformun, kullan›ld›¤› cihazlar›n, iflletim sisteminin, veri taban›n›n, iletiflim içinde oldu¤u di¤er program ve servislerin ve kullan›c›lar›n›n da güvenli olmas› laz›m. Güvenlik tam ve bütün olmad›¤› sürece yat›r›mlar›m›z›n bofla gitmesi bir an meselesi olarak kalacakt›r. Yani: “Hatt› müdafaa yoktur; Sath› müdafaa vard›r”, buradaki sat›h ise bütün bileflenlerinin dikkate al›nmas› gereken tüm bilgisayar sistemidir. Günümüzden yaklafl›k yüz y›l önce öne sürülen ve tüm savunma flekillerini de¤ifltiren bu gerçek, teknolojik güvenlikte birkaç y›ldan beri uygulanmaya bafllanm›flt›r. Bilmem bu stratejiyi ortaya koyan kiflinin ne kadar öngörüfllü oldu¤unu belirtmeye gerek var m›? Günümüzde “Holistic approach to security” olarak nitelendirilen bu yaklafl›m her gün artan teknolojik geliflmeler ile daha da karmafl›k ve probleme özgü bir çözüm haline gelmektedir. Bu durumda uygulama gelifltiricileri ve sistem yöneticilerinin yapmas› gereken, tüm sorunlara ayr› ayr› çözümler getirmek de¤il, haz›r araçlar› bir araya getirip amaca ulaflmak olmal›d›r. Devam› 9. sayfada .net Güvenli¤i - 9 Underground (10-11) Befl Güvenlik Mimarisi Hatas› Uygulama H›zland›rma (12-13) ‹nternet korsanlar› “kurba¤a tekni¤i” kullan›rlar. Yani bir sisteme s›zar, daha sonra bu sistem üzerinden di¤er sistemlere s›çrarlar: T›pk› bir kurba¤an›n, durgun suda bir yapraktan di¤erine s›çramas› gibi. Herkesin bildi¤i gibi siber ataklar›n çok büyük bir bölümü konfigürasyon hatalar›ndan kaynaklan›yor. Oysa yar›n› görerek, bugünden önlem almak mümkün. Tek yapmam›z gereken deremizdeki yapraklar aras›nda önlem almak, yani tampon bölgeler oluflturmakt›r. Oldukça büyük flirketlerden önemli bilgilerin çal›nd›¤› haberlerini son zamanlarda Türkiye’de de s›kça duymaya bafllad›k. Unutmayal›m ki bu siber sald›r›lar›n en önemli sebebi iyi tasarlanmam›fl sistemlerdir. Global terör ile ilgili bir belgeselde bir Amerikan havaalan› güvenlik müdüründen duydu¤um sözü yazmak için iyi bir zaman: “Biz iflimizi her zaman iyi yapmak zorunday›z. Teröristlerin ise ifllerini sadece bir defa iyi yapmalar›, amaçlar›na ulaflmalar› için yeterli.” e-Ticaret Güvenli¤i ve PCI Veri Güvenli¤i Standard› (14-15) Adli Biliflim Sistem Analizi “Dijital Forensics” (16-17) Hiyerarflik Arflivleme ve Yedekleme (18-19) Devam› 2. sayfada Masaüstü Güvenli¤inde Yeni Yaklafl›mlar Günümüzde flirketlerin gizli, kritik bilgi ve uygulamalar›na gittikçe daha fazla say›da denetim/yönetim d›fl› sistem eriflmektedir. Yönetim/denetim d›fl› sistemler aras›nda dan›flmanlar›n, outsource flirket çal›flanlar›n›n, bayilerin ve müteahhit flirketlerin sistemleri say›labilir. Merkezi IT birimi taraf›ndan denetlen(e)meyen bu tür sistemler, a¤ güvenli¤i aç›s›ndan yeni zay›f noktalar oluflturmaktad›r. Bu yaz›m›zda bu sorunlar›n VMware ACE ve Vmware Virtual Desktop Infrastructure (VDI) ürünleri ile nas›l çözülebilece¤ini irdeleyece¤iz. Devam› 8. sayfada Befl Güvenlik Internet korsanlar› kurba¤a tekni¤i kullan›r. Yani bir sisteme s›zar, daha sonra bu sistem üzerinden di¤er sistemlere s›çrar. T›pk› bir kurba¤an›n dura¤an suda bir yapraktan di¤erine s›çramas› gibi. 2 BEYAZfiAPKA 1. SMTP Protokolü Hatalar› Güvenli¤i sa¤lamak için hizmet verece¤imiz her protokolü iyice incelemeli ve sistemimize gereken tan›mlamalar› yapmal›y›z. Bu konuda maalesef en s›k gördü¤ümüz hata, SMTP sunucular› üzerinde yap›lan hatalard›r. ‹flletim sistemlerine entegre posta sunucumuz varsa, güvenlik duvar›ndan NAT yaparak gelen postalar› direkt lokal a¤›m›zda bulunan posta sunucumuza iletmek, bombay› kuca¤›m›za almaktan farks›zd›r. DMZ ad› verilen bölge, güvenilir iletiflim sa¤lamak için dizayn edilmifl bir yap›d›r. Gelen postalar› karfl›layan sunucumuz bu bölgede bulunmal›d›r; fakat ne yaz›k ki bu bölge dahi tam olarak yeterli olmamaktad›r. Birçok sistemde DMZ bölgesinde postay› karfl›lamak için Active Directory bilgisi tafl›yan veya Windows Domain üyesi olan bir sunucu kullan›lmaktad›r. Hatta ço¤u sistemde DMZ ile lokal a¤ aras›nda daha kolay iletiflim sa¤lamak için güvenlik duvar› tan›mlar›nda full eriflim verildi¤ini görmekteyiz. Bu flekilde tasarlanm›fl bir sistemin, NAT ile içeriye posta alan sistemden hiçbir fark› yoktur. Yap›lmas› gereken ifl, fake SMTP olarak adland›r›lan, lokal domain veya Active Directory ile hiçbir ba¤› olmayan, Smart Host mimarili bir e-posta sunucusu kullanmak ve bu sunucuyu DMZ bölgesinde bar›nd›rmak. Bu flekilde e-posta sunucumuz, bir internet korsan› taraf›ndan ele geçirilse bile, bu korsan di¤er sunucular›m›za kolayca geçifl yapamayacakt›r. Ancak en do¤rusu, bir fake SMTP sunucusu yerine, bu ifl için tasarlanm›fl güvenlik ürünleri kullanmakt›r. Bu ürünler sayesinde hem SMTP sistemi ile lokal sistemimiz aras›nda bir tampon bölge oluflturmufl oluruz hem de gelen postalar› virüs, trojan, spyware, phishing veya antispam taramas›na tabi tutabiliriz. Asl›nda antispam çözümlerini bu kadar basit geçmemek gerekir. Nitekim sadece antispam taramas› yaparsak Tetris oyunu oynar gibi ard› arkas› kesilmeyen spam postalarla mücadele etmeye çal›flm›fl oluruz ve gerçekte hiçbir zaman kazanamay›z. Bu tip postalar› sistemimiz kabul etmeden rejection code ile geri döndürmeli ve spam listelerinden kendi alan ad›m›z› düflürmeye çal›flmal›y›z. Antispam konusu bu yaz›m›z›n d›fl›nda oldu¤undan daha fazla detaya giremiyorum. SMTP sunucular›m›za gelen authentication isteklerini de güvenlik politikam›za uygun olarak tan›mlamal›y›z. E¤er bir güvenlik politikam›z yoksa derhal haz›rlamal›y›z. Hacking Exposed kitaplar›n› okuyanlar›m›z, Banner Grabbing yöntemini bilirler. Sistemsel bilgilerin internetten kolayca al›nmas›n› engellemek için varsay›lan sistem etiketlerimizi de¤ifltirmeliyiz. 2. Web-mail/POP3 Hatalar› Yo¤un ifl temposu, flirket çal›flanlar›n›n ofis d›fl›nda da elektronik maillerine ulaflmas›n› ve ifllerini uzaktan yönetmesini gerektiriyor. Dolay›s›yla kullan›c›lar›n, flirketlerinin elektronik postalar›na eriflmeleri için çeflitli yöntemler gelifltiriliyor. En eski yöntem POP3. Kullan›c›, bilgisayarlar›na POP3 tan›mlamas› yaparak, nerede olursa olsun postalar›na ulaflabilmektedir; ancak bu durumda POP3 sunucumuzu da internetten eriflilebilir hale getirmemiz gerekmektedir. POP3, do¤as› gere¤i kullan›c› ad› ve flifre denetimi yapt›¤›ndan, zay›f bir nokta oluflturmaktad›r. Ayr›ca POP3 sistemlerinin di¤er sistemlerimiz ile entegre durumda olmas›, sunucuya s›z›larak sistemin ele geçirilmesini kolaylaflt›r›r. Web-mail yöntemi ise ikinci uzaktan posta eriflim hizmeti olmaktad›r. Bu yöntemin en fazla bilinen örne¤i Outlook Web Access (OWA). Ancak durum OWA’da da farkl› de¤il, kullan›c› ad› ve flifre denetimi yapan her sistem zay›f noktad›r. Ayr›ca unutmamam›z gerekir ki OWA sunucumuz Active Directory sistemine entegredir; yani OWA hack edilirse tüm sistemimize s›z›labilir. Peki güvenli bir eriflim yöntemi yok mu? Elbette var, SSL-VPN. SSL-VPN kimlik do¤rulama sistemi, Windows Domain sistemimizden ba¤›ms›zd›r. Güvenlik çok yüksek seviyede tasarlanm›flt›r. Ancak buna ra¤men hack edilse bile direk olarak lokal sunucular›m›za s›z›nt› yap›lamaz. Ayr›ca tüm eriflim SSL flifrelemesi ile sa¤lan›r. Yani clear-text olarak çal›flan SMTP ve POP3 gibi sistemlerimize kolayca flifreleme sa¤layabiliriz. SSL-VPN sistemlerinin yönetimi ve bak›m› da çok kolayd›r. SSL-VPN ürünleri ile merkez ofisimize eriflimi kolaylaflt›ran ve güvenli k›lan yat›r›m› yapabilir, üzerine de güvenli dosya eriflimi veya full VPN hizmetlerini sa¤lam›fl olabiliriz. 3. Web Sunucular› Hatalar› Art›k hemen hemen her flirkette web hizmetleri sunuluyor ve yaz›l›mlar›n birço¤u web uyumlu olarak gelifltiriliyor, do¤al olarak bu durum da internet korsanlar›n›n ifline yar›yor. Aç›kça söylemeliyim ki web hizmetlerinin güvenli¤ini sa¤lamak oldukça zordur. Bu yüzden kullan›lan protokolleri çok iyi tan›mak ve yaz›l›m altyap›lar›n› iyi bilmek gerekir. Ancak yine de web sunucumuzun http authentication yöntemlerine kolayca müdahale edebiliriz. Daha önce söyledi¤im gibi her authentication sistemi, e¤er Windows Domain’imize entegre ise, her an patlamaya haz›r bir saatli bombad›r. Web sistemimize yap›lacak bir atak tüm sistemimizi internet korsan›n›n önüne aç›kça koyabilir. Bu yüzden sistemimizi iyi yap›land›rmal›y›z. SSL-VPN bu noktada yine iyi bir çözüm olacakt›r. Personelimizin kulland›¤› web uygulamalar›na veya B2B sistemi kullanan ifl ortaklar›m›za SSL-VPN üzerinden hizmet sa¤layabiliriz. Bu sayede, say›lar› zaten fazla olmayan sistem kullan›c›lar›n›n eriflece¤i noktalar›, internete ba¤l› herkese açmak gibi ölümcül bir hata yapmam›fl oluruz. E¤er herkese aç›k bir sunucumuz varsa Reverse-Proxy veya Application Firewall ürünlerini kullanmaktan baflka çaremiz yok. Tabi burada bahsetti¤im teknik bir tespit. Söz konusu yat›r›mlar ve sistemlerin de¤eri bu yat›r›ma olanak tan›yacak kadar büyük olmayabilir ancak teknik olarak bu güvenlik sistemlerini kullanmak zorunludur. Bu konuda en iyi yorumu güvenlik dan›flman›n›z yapacakt›r. 4. FTP Protokolü Hatalar› Benzer hatalar FTP protokolümüz için de geçerli. FTP sistemi, kolay dosya transferi için oldukça elveriflli; fakat FTP sistemini Windows Domain’imiz ile entegre etmek, bindi¤imiz dal› kesmekten farks›z. Kullanaca¤›m›z FTP sunucusunun kendine ait bir authentication metoduna sahip olmas›na ve mümkünse FTP sunucusunun iflletim sisteminin Windows Domain’ine üye olmamas›na dikkat etmeliyiz. E¤er Mimarisi Hatas› sadece kendi personelimize veya ifl ortaklar›m›za hizmet veren bir FTP sunucumuz var ise SSL-VPN hizmetleri burada da iyi bir tercih olacakt›r. FTP sunucumuza bir Directory Traversal ata¤› gelece¤ini düflünmeli ve bu sunucu üzerinde gerekli eriflim kurallar›n› uygulamal›y›z ve FTP sunucumuz üzerine baflka bilgiler saklamamal›y›z. 5. Atak Denetimi A¤ tabanl› atak engelleme sistemleri Network Intrusion Prevention System, (NIPS) h›zla hayat›m›za girmeye bafllad›. Birçok Türk flirketi NIPS sat›n ald› birço¤u da eski atak tespit sistemi olan (IDS) ürünlerini yeni nesil NIPS ürünleri ile de¤ifltirdi. Son zamanlarda s›kça hacking haberi duyar olduk. Bu flirketlerin hâlâ IPS ürünleri kullanmad›¤›n› düflünüyorum. Bunun yan› s›ra IPS kullan›m›nda da birçok konfigürasyon hatas› gözlemliyoruz. Bu hatalardan en önemlisi konumland›rma hatalar›. NIPS ürünlerinin ço¤u, birden fazla fiziksel segment üzerinde hizmet verebilir. NIPS ürünümüzün a¤ üzerinde trafi¤i karfl›lad›¤› nokta mutlaka güvenlik duvar›n›n önü olmal›d›r. Bu sayede güvenlik duvar›na gelecek uygulama tabanl› ataklar› ve DDoS ataklar›n› engelleyebiliriz. Ürünün konumland›r›laca¤› ikinci nokta, güvenlik duvar›m›z ile lokal a¤›m›z aras›nda olmal›d›r. Ancak bu sayede lokal a¤dan ç›kmas› muhtemel ataklar›n kayna¤› NIPS taraf›ndan tespit edilebilir. Aksi takdirde Dinamik NAT yüzünden güvenlik duvar› önünde bulunan NIPS lokal a¤ kaynakl› ataklar›n kaynak adresini, güvenlik duvar›n›n NAT adresi olarak tan›mlayacakt›r. Korumam›z gereken di¤er önemli bir nokta ise flube veya B2B ba¤lant›lar›m›z›n lokal a¤ ile bulufltu¤u noktad›r. Bu sayede flubelerden veya B2B ba¤lant›lar›m›zdan gele- Serkan AKCAN serkan.akcan@nebulabilisim.com.tr cek olan atak ve solucan gibi tehditleri merkez sistemimize ulaflmadan durdurabiliriz. Ayn› durumun tersi de elbette geçerli. Unutmamam›z gerekir ki Atak Engelleme Sistemi iki parçadan oluflur. Network Intrusion Prevention System (NIPS) ve Host Intrusion Prevention System (HIPS). Dolay›s› ile bir atak engelleme sistemi dizayn ederken HIPS ürünlerini kesinlikle unutmamal›y›z. Özellikle de NIPS ürünleri https gibi flifrelenmifl paketlerin içine bakamazken (flu an için sadece bir NIPS markas›n›n orta ve yüksek seviyeli modelleri https trafi¤inde ataklar› bulup engelleyebilmektedir). HIPS ürünleri kullananlar gayet iyi bilir ki, baz› ataklar sadece HIPS ile durdurulabilir. Çünkü Buffer Overrun korumas› veya Windows Registry ve dosya korumas› gibi özellikler baflka hiçbir üründe bulunmaz. Bu sayede güvenlik yamalar› yüklenmemifl bir sunucu bile güvenle çal›flabilmektedir. Üstelik HIPS ürünlerinin fiyatlar› da gayet caziptir. Henüz HIPS kullanm›yorsan›z mutlaka ve h›zl›ca bir demo istemenizi tavsiye ederim. HIPS raporlar›n› görür görmez bu ürünlerin k›ymetini daha net anlayacaks›n›z. NIPS ve HIPS ürünlerinde kural yönetimi üzerinde durulmas› gereken oldukça önemli bir görevdir. Ço¤u yerde anlat›lan›n aksine NIPS ve HIPS ürünleri “kur-unut” ürünlerden de¤ildir. Atak imzalar› özenle düzenlenmemifl bir IPS sahibi sistem ile IPS sahibi olmayan sistemin çok büyük bir fark› yoktur. En az antivirus sistemlerini güncelledi¤imiz h›zda IPS ürünlerini güncellemeliyiz. Unutmay›n ki ataklar büyük oranda yeni bir güvenlik a盤›n›n duyurulmas›n› takiben yap›l›r. Her sistem yöneticisi Hacker’lardan daha h›zl› davranmak ve sistem zaaflar›n› kapatmakla yükümlüdür. Tüm sorular›n›z ve fikirleriniz için lütfen bana yaz›n. BEYAZfiAPKA 3 Microsoft Forefront Günümüzde güvenlik, birçok flirketin öncelik s›ralamas›n›n en üstünde yer al›yor. fiirketler, bir yandan düzenli olarak güvenlik alan›na yat›r›m yaparken, di¤er yandan sektöre her gün yeni ürünler ve teknolojiler kat›l›yor. Güvenlik, Microsoft aç›s›ndan da oldukça önemli. Microsoft, müflterilerinden ve ifl ortaklar›ndan gelen talepler do¤rultusunda 2002 y›l›ndan bu yana bilgi güvenli¤i konusunda sürekli yat›r›mlar yap›yor. 2002’de bafllayan “Trustworthy Computing Hareketi” sayesinde Microsoft’taki her ürün güvenlik, gizlilik ve güvenilirlik bak›m›ndan en üst seviyeye çekildi. Bununla beraber, mevcut ürünler d›fl›nda yeni güvenlik ürünleri gelifltirildi ve kendi sektöründeki en baflar›l› flirketler sat›n al›narak onlar›n ürünleri Microsoft ürün ailesine entegre edildi. 4 fiekil 1. Microsoft Forefront Ürün Ailesi Yol Haritas› BEYAZfiAPKA Bugün ise Microsoft, mevcut bütün Güvenlik Ürün Ailesini Forefront ad› alt›nda birlefltirmeye karar verdi. Forefront ad›, ayn› zamanda, Microsoft’un “güvenli¤e” olan ve hep devam edecek ba¤l›l›¤›n› yans›tmaktad›r. Güvenlik sadece uçtan uca sa¤lan›rsa anlaml› olabilir. Microsoft Forefront Ürün Ailesi de flu anda kullan›c› bilgisayar›ndan sunucuya, sunucudan d›fl ba¤lant› noktas›na kadar, uçtan uca güvenli¤i sa¤lamaktad›r. Forefront’un özelliklerine geçmeden önce k›saca ürün ailesine ve Forefront yol haritas›na bir göz atal›m. Client taraf›nda daha önce Microsoft Client Protection olarak duyurulan ve Microsoft taraf›ndan gelifltirilmekte olan ürün 2007 y›l›nda Microsoft Forefront Client Security ad› alt›nda piyasaya ç›kacak. Forefront Client Security, Anti-Malware olarak Windows Defender ve Anti-Virüs olarak Microsoft AV Engine özelliklerini bünyesinde bar›nd›racak. Ayn› zamanda Forefront Client Security Management Console’u ile de merkezi olarak yönetilebilecek. Server taraf›nda ise Sybari firmas›n›n sat›n al›nmas›yla beraber Antigen ad›yla Microsoft ürün ailesine kat›lan ve Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateways, ve Microsoft Antigen Spam Manager ürünleri, 2007 y›l›ndan itibaren Microsoft Forefront Security for Exchange Server ad›yla piyasada olacak. Yine server taraf›ndan an›nda mesajlaflma için kullan›lan Antigen for Instant Messaging ürünü, Microsoft Forefront Security for Office Communications Server ad›yla gelecek y›llarda piyasada olacak. Server taraf›ndaki Forefront ailesi ise Forefront Server Security Management Console ile merkezi olarak yönetilebiliyor olacak. D›fl Ba¤lant› Noktas› taraf›nda ise güvenlik bak›m›ndan Microsoft’un en önemli ve be¤enilen ürünlerinden biri olan Microsoft Internet Security and Acceleration (ISA) Server, yeni versiyonu ile Forefront ürün ailesinin bir parças› olacak. Çok k›sa bir sure sonra piyasada olacak olan Internet Security&Acceleration Server 2006, kendine özel Forefront ad›na ise bir sonraki versiyonunda sahip olacak. Mehmet ÜNER mehmetu@microsoft.com Comprehensive Security Product Portfolio Kapsaml› Güvenlik Ürün Portföyü fiekil 2. Tam ve Detayl› Güvenlik Çözümleri Günümüzde güvenlik, birçok flirketin öncelik s›ralamas›n›n en üstünde yer al›yor. fiirketler, bir yandan düzenli olarak güvenlik alan›na yat›r›m yaparken, di¤er yandan sektöre yeni ürünler ve teknolojiler kat›l›yor. Forefront ürün ailesine ve yol haritas›na bakt›ktan sonra, Forefront’un önemli özelliklerini ve flirketlere getirece¤i yararlar› inceleyelim. Forefront’un günümüzde güvenlik aç›s›ndan birçok sorunla karfl› karfl›ya olan flirketlere getirdi¤i en önemli yararlar, tam ve detayl› bir çözüm sunmas›, yönetiminin basit olmas› ve mevcut IT yap›s›yla entegrasyonu sa¤lamas›d›r. Tam ve Detayl› Çözüm l Forefront sayesinde flirketler, virüs, spyware, rootkit ve di¤er malware tehditlere karfl› kullan›c› bilgisayarlar›n› ve sunucular›n› koruyabilmekteler. l Forefront, eriflim kontrolü, uygulama ve protokol datas› inceleme, birden çok engine kullanma gibi özellikleri ile flirket a¤lar› için çok derin ve detayl› bir koruma sa¤lamaktad›r. l Forefront, Firewall, VPN ve flifreleme teknolojileri sayesinde sadece eriflim izni verilmifl kullan›c›lar›n gerekli datalara eriflimini sa¤lamaktad›r. l Forefront’un sa¤lad›¤› tam ve detayl› çözümün son özelli¤i ise 3. Parti güvenlik çözümleri ile birlikte çal›flmak ve network güvenli¤inin kapsam›n› artt›rmakt›r. Yönetim Basitli¤i l Forefront ürün ailesi geliflmifl log toplama, raporlama ve gözlem özellikleri sayesinde flirket a¤lar› için güvenlik yönetimini çok basitlefltirmektedir. l Forefront, merkezi yönetim konsolu say›s›n› azaltmakta ve IT yöneticilerinin ifllerini kolaylaflt›rmaktad›r. l Forefront güvenlik ürünleri merkezi olarak basit bir flekilde kurulabilmekte ve tek bir noktadan güvenlik imzalar› ve politika yönetimi yap›labilmektedir. Mevcut Yap›yla Entegrasyon: l Forefront, mevcut Microsoft tabanl› IT altyap›s›yla (Active Directory, Group Policy, Windows Server Update Services gibi) entegre bir flekilde çal›flabilmektedir. l Forefront, Microsoft sunucu uygulamalar›n› korumak için optimize edilmifl durumdad›r. l Forefront’un log toplama ve analiz için SQL altyap›s›n› kullanmas›, yönetim konsollar›n›n MOM, SMS ve WSUS gibi Microsoft ürünleri ile entegre olmas› sayesinde, flirketlerin karfl›laflabilece¤i birçok maliyet önlenebilmektedir. BEYAZfiAPKA 5 McAfee'nin “Az Bilinen Yerleri” Gezi dergilerindeki “gizli do¤a harikalar›, az bilinen yerler” gibi köfleler hep ilgimi çekmifltir. Meflhur olmufl yerlerin d›fl›nda gözden kaç›r›lm›fl, mutlaka görülmesi gereken yerler hakk›nda bilgi sahibi olmak kendimi ayr›cal›kl› hissettirir. Her ne kadar daha az bilinir olsalar da Kütahya'daki Aizonai antik flehri ya da 3000 y›ll›k gemi yap›mc›l›¤› tarihi olan flirin Karadeniz kasabas› Kurucaflile, en az Efes ya da Türkiye'nin güney sahilleri kadar büyüleyicidir çünkü. Bu yaz›da sizlere McAfee “co¤rafyas›ndaki” baz› az bilinen yerler hakk›nda bilgiler sunmak istiyorum. Günün birinde yolunuz düflerse ya da gitmek isterseniz önceden bilmenin keyfini yaflaman›z için. Microsoft ISA Server ‹çin “McAfee SecurityShield” McAfee'nin anti virüs, anti spam ve içerik filtreleme teknolojilerine dayanan McAfee SecurityShield “Microsoft ISA Server 2000 ve 2004” korumas› için gelifltirilmifltir. E¤er Microsoft ISA sunucular› dahili olarak kullan›l›yorsa, flirket departmanlar› aras›ndaki trafi¤i filtrelemek olanakl›d›r. SecurtiyShield ile zararl› kodlardan etkilenmifl dosyalar otomatik olarak onar›labilir, kesilebilir veya karantinaya al›nabilir ve böylece zararl› kodlar›n SMTP, HTTP ve FTP üzerinden a¤a girmesi ya da a¤dan ç›kmas› önlenir. McAfee'nin metinsel taramas› 300'ün üzerinde eposta eklenti türünü Adobe® Acrobat® ve Microsoft® Office dosya türleri de dahil olmak üzere, belirlenen içerik filtreleme kurallar›n› baz alarak kontrol eder. Önceden belirlenmifl kurallar›, ilgili flirkete özgü kurallar haline getirmek olanakl›d›r. McAfee Spamkiller yaz›l›m›n›n entegre edilebildi¤i SecurityShield McAfee'nin genel yönetim platformu olan “Event Policy Orchestrator” (ePO) üzerinden yönetilebilmektedir. E-Business Server'›n kurulumu ve yönetimi kolayd›r. Kullan›c› her nereden eriflim sa¤l›yor olursa olsun otomatik flifreleme, flifre çözümü, dijital imza ve do¤rulama kullan›labilir. 6 BEYAZfiAPKA Microsoft SharePoint için McAfee PortalShield McAfee® PortalShield™ for Microsoft® SharePoint® doküman içeri¤i, web içeri¤i ve sunucuda saklanan dokümanlar için kapsaml› ve geliflmifl güvenlik sa¤lar. Üstün metinsel tarama ve içerik filtreleme özelliklerine ek olarak kay›tl› dokümanlardaki izinsiz içeri¤i arama yetene¤i ile PortalShield paylafl›lan ortamlardaki geleneksel anti virüs korumas›n›n ötesine geçmektedir. McAfee® PortalShield™ for Microsoft® SharePoint® McAfee'nin genel yönetim platformu olan “Event Policy Orchestrator” (ePO) üzerinden yönetilebilmektedir. Sistem gereksinimleri: Microsoft® SharePoint® Portal Server 2001 • Microsoft® Windows® Server 2000/2003 • Microsoft Internet Information Services (IIS) 5.0 or later • Microsoft® Internet Explorer v5.5 or later installed Microsoft SharePoint Portal Server 2003 • Microsoft Windows Server 2003 • Microsoft Internet Information Services (IIS) 6.0 or later • Microsoft Internet Explorer v6.0 or later installed Microsoft Windows SharePoint Services • Microsoft Windows Server 2003 • Microsoft Internet Information Services (IIS) 6.0 or later • Microsoft Internet Explorer v6.0 or later installed McAfee fiifreleme Yaz›l›mlar› - McAfee E-Business Server fiubeleri, üreticileri ve ifl ortaklar› ile hassas ve fikri mülkiyet haklar›na konu bilgiler paylaflan kurumlar veri ve uygulamalar›n› korumak durumundad›rlar. McAfee EBusiness Server yaz›l›m› ile verilerin endüstri standard› olan PGP ile flifrelenmifl olarak internet üzerinden güvenli paylafl›m› olanakl›d›r. 128 bit PGP flifrelemesi uygulamalar ve e-postalar içindeki verileri korur, dosya transferlerinin güvenli olarak yap›lmas›n› sa¤lar. E-Business Server'›n kurulumu ve yönetimi kolayd›r. Kullan›c› her nereden eriflim sa¤l›yor olursa olsun otomatik flifreleme, flifre çözümü, dijital imza ve do¤rulama kullan›labilir. Birden fazla sunucuya kurulan EBusiness Server tek bir yerden yönetilebilir. Hatalar› en aza indirmek için flifreleme komutlar› oldukça basitlefltirilmifltir. Yaz›l›m gelifltiriciler kendi tercih ettikleri diller ya da ilgili API'leri kullanarak flifreleme özelliklerini istenen uygulamalara entegre edebilirler. E-Business Server adanm›fl hat kullan›m ihtiyac›n› ortadan kald›r›r ve kolaylaflt›r›r. Bütünleflik s›k›flt›rma özelli¤i ile 4GB'den daha büyük dosyalar› flifreleyebilir ve böylece bant geniflli¤inin ve saklama alan›n›n efektif kullan›m› sa¤lanm›fl olur. E-Business Server'›n çok genifl bir yelpazedeki sunucular ve iflletim sistemleri ile uyumlu olmas› farkl› platformlar aras›ndaki veri paylafl›m›n› kolaylaflt›r›r. Hatta farkl› bir platformda flifrelenmifl veriler baflka bir platformda aç›labilir. E-Business Server uluslararas› PGP standartlar›n› ve en fazla kullan›lan sertifikasyon kurulufllar›n›n protokollerini destekler. ‹flletim sistemleri Microsoft® Windows® için: 32 MB RAM ve 6 MB bofl disk alan›, Unix için 32 MB RAM ve 9 MB bofl disk alan› Desteklenen platformlar: E-Business Server 8.0/8.1 Microsoft Windows NT4, Server, 2000 Advanced Server, and 2003 SunSM Solaris™ 9, 10 HPUX 11.0, 11.1 RedHat® 3.0 Enterprise Server SuSE Linux™ 9.0 Enterprise Server - McAfee E-Business Server for OS/390 E-business Server ile benzer fonksiyonlara sahip olan McAfee E-Business Server for OS/390 IBM® PCM mainframe sistemleri için kullan›l›r. Platform deste¤i: OS/390 V2 R10 veya sonras›ndaki sürümler üzerinde çal›flan her tür sistem Çapraz platform uyumlulu¤u: AIX, HP-UX, Linux™, Solaris™, SuSE Linux™ for S/390 or zSeries ve Microsoft® Windows® 98, NT and 2000. - McAfee E-Business Server Partner Edition E-Business Partner Edition ile ifl ortaklar›n›z ile güvenli bilgi paylafl›m› için gerekli ortam› yaratm›fl olursunuz. Microsoft® Windows® için: 32 MB RAM ve 6MB disk alan› UNIX için : 32 MB RAM ve 6MB disk alan› - McAfee E-Business Client McAfee E-Business Client ile kullan›c›lara masaüstünde flif- Arma¤an ZALO⁄LU armagan_zaloglu@mcafee.com press® veya Netscape Mail • FTP transferleri için Internet eriflimli bir ftp sunucusu gerekir. • En az Intel® Pentium® 166vMHz ifllemci. • En az 32 Mb haf›za (64vMB sunucu platformalar› için) • En az 3MB hard disk kapasitesi Desteklenen algoritmalar • MD-5, SHA1, RIPE MD 160 Desteklenen algoritmalar: Simetrik ve asimetrik “key” flifrelemesi • DSS, RSA, Twofish, AES, CAST5, 3DES, IDEA releme ve güvenli iletim olanaklar› sa¤lam›fl olursunuz. Herhangi bir teknik e¤itime gerek kalmadan E-business Client'in “tut-b›rak” fonksiyonu ile flifreleme, açma ve do¤rulatma fonksiyonlar› yerine getirilebilir. Sonras›nda bu veriler herhangi bir McAfee® E-Business Server'a gönderilebilir ya da herhangi bir McAfee® E-Business Server'dan al›nabilir. E-Business Client Microsoft® FTP and SMTP kulland›¤› için dosya transferleri otomatik olarak gerçekleflir. Markalama ve kimlik tan›t›m› için ilgili kurum ya da onun ifl ortaklar› dokümanlara logo ekleyebilirler. Endüstri sertifikasyonlar›na uyum kontrolleri için yap›lan tüm ifllemlerin ve al›nan tün konfirmasyonlar›n kay›tlar› tutulur. E-Business Client otomatik olarak flifreleme için “public key” (bütün kullan›c›larca bilinen) ve flifreyi çözmek için “private key” (sadece al›c› taraf›ndan bilinen) yarat›r. Public-key bilinse dahi private key kodunu k›rmak olanaks›zd›r. Sistem Gereksinimleri: E-Business Client ile iletiflim için McAfee® E-Business Server® or McAfee® E-Business Server® for OS/390 gerekmektedir (kurum içinde ya da d›fl›nda). E-Business Client Microsoft® FTP and SMTP kulland›¤› için dosya transferleri otomatik olarak gerçekleflir. Yönetim ve Konfigürasyon • Microsoft® Windows® NT Server 4.0, SP 4 or later, Microsoft Windows NT Workstation 4.0, SP 4 ya da sonraki sürümler. • Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional or Microsoft Windows 2000 Server • Microsoft Windows XP Professional. • E-posta transferi için MAPI uyumlu eposta sistemi gerekir: örne¤in Microsoft® Outlook®, Microsoft® Outlook Express® veya Netscape Mail • FTP transferleri için Internet eriflimli bir ftp sunucusu gerekir. • En az Intel® Pentium® 166vMHz ifllemci. • En az 32 Mb haf›za (64vMB sunucu platformalar› için) • En az 10MB hard disk kapasitesi McAfee E-Business Client • Microsoft Windows 95, 98, ME, NT Server 4.0, NT Workstation 4.0, 2000 Advanced Server, 2000 Professional, 2000 Server, XP Professional, XP Home. • Eposta transferi için MAPI uyumlu eposta sistemi gerekir: örne¤in Microsoft® Outlook®, Microsoft® Outlook Ex- McAfee E-Business Server - Native API'ler McAfee E-Business Server'in Native API'leri ile tüm uygulamalar -endüstri spesifik, özel, ticari vb.- flifrelenerek izinsiz eriflimin önüne geçilebilir. Yaz›l›m gelifltiriciler kendi tercih ettikleri dilleri ya da McAfee'nin sa¤lad›¤› API'leri kullanabilirler. Özel bir e¤itime gerek yoktur. Otomatik flifreleme, çözme, dijital imza ve do¤rulama fonksiyonlar› entegre edilerek veri nereden eriflilirse eriflilsin koruma alt›na al›n›r. A¤ trafi¤i flifrelemesini bir çok farkl› uygulama ile entegre etmek olanakl›d›r: Veri saklama, finansal ifllemler, sigorta talep ifllemleri, her tür FTP aktar›mlar›, web tabanl› kredi kart› ifllemleri, di¤er online ifllemler, flifreleme ve veri imzalama, web tabanl› sa¤l›k sistemleri... Gelifltirme ifllemi tamamland›¤›nda verileri internet üzerinden en çok kulland›¤›n›z uygulamalar arac›l›¤› ile aktarabilirsiniz. Farkl› bir platformda flifrelenmifl veriler baflka bir platformda aç›labilir E-Business Server için Perl API • E-Business Server • ActiveState™ Perl 5.6 [Microsoft® Windows®] • ActiveState Perl 5.005 or later [UNIX] • Supported platforms: HP-UX 10.20, RedHat® Linux™ 6.2, Solaris™ 2.6 and Microsoft Windows NT 4.0 SP6 E-Business Server için Java API • E-Business Server • SunSM Java™ 2 SDK 1.3.1 ve sonraki sürümler, Sun JRE 1.3.1 ve sonraki sürümler, veya Microsoft Visual J++ [Visual Studio 6.0 ile beraber gönderilir] • Desteklenen platformlar: HP-UX 10.20, RedHat Linux 6.2, Solaris 2.6 veya Windows 2000 Workstation E-Business Server için COM API • McAfee E-Business Server • Microsoft Visual Basic 6.0 • Desteklenen platformlar: Microsoft Windows NT and Microsoft Windows 2000 E-Business Server için C/C++ Native API • C/C++ native API McAfee E-Business Server 'a dahildir. Çapraz platform uyumlulu¤u • fiifrelenmifl veriler PGP ürünlerinin çal›flt›¤› flu iflletim sistemleri ile paylafl›labilirler: OS/390, AIX, HP-UX, Linux, Solaris, or Microsoft Windows 98, Microsoft Windows NT, and Microsoft Windows 2000 • Mainframe Linux deste¤i SuSE Linux™ for S/390 ve zSeries için vard›r. Daha detayl› bilgi için turkey@mcafee.com ile konta¤a geçebilirsiniz. http://www.mcafee.com BEYAZfiAPKA 7 Masaüstü Güvenli¤inde Yeni Yaklafl›mlar Günümüzde flirketlerin gizli, kritik bilgi ve uygulamalar›na gittikçe daha fazla say›da denetim/yönetim d›fl› sistem eriflmektedir. Yönetim/denetim d›fl› sistemler aras›nda dan›flmanlar›n, d›fl kaynak sa¤lay›c›s› flirket çal›flanlar›n›n, bayilerin ve yüklenici flirketlerin sistemleri say›labilir. Merkezi BT birimi taraf›ndan denetlen(e)meyen bu tür sistemler, a¤ güvenli¤i aç›s›ndan yeni zay›f noktalar oluflturmaktad›r. Bu yaz›m›zda bu sorunlar›n VMware ACE ve VMware Virtual Desktop Infrastructure (VDI) ürünleri ile nas›l çözülebilece¤ini irdeleyece¤iz. VMware ACE VMware ACE, kurumun BT birimi taraf›ndan özel olarak haz›rlanm›fl bir sanal makinan›n denetim d›fl› (kurum d›fl›) sistemlere yüklenmesi temelinde çal›flan bir çözümdür. Bu özel sanal makinan›n sahip oldu¤u, olaca¤› yetkiler sistem yöneticileri taraf›ndan önceden belirlenir ve bu sanal makina bir flablon olarak bu PC’lere yüklenir. Böylelikle, yönetim d›fl› bir PC, tüm a¤ iletiflimi ve donan›m› kontrol edilebilen bir sisteme dönüflür ve uç noktalardaki bu tür sistemlerdeki kritik bilgiler korunmufl olur. Sistem yöneticisi birden fazla flablon haz›rlayabilir ve de¤iflik tipte sistemler için uygun olan› yükleyebilir. Bu flablonlar, sistem/a¤ güvenli¤i yöneticileri taraf›ndan VMware ACE Manager ile üretilir ve MSI uyumludur. Yönetici; sanal makinan›n iflletim sistemini, yüklenecek uygulamalar›, a¤ eriflimini, kimlik denetimini, sanal makina süreli ise bitifl tarihini, kopyalama koruma özelli¤ini belirler. Virtual Rights Manager (VRM) ile tüm bu güvenlik politikalar› merkezi olarak yönetilebilir. Bu flablon sanal makina(lar) bilinen yöntemlerden herhangi biri kullan›larak (download, da¤›t›m programlar› veya CD/DVD ile) uç sistemlere da¤›t›l›r ve kurulur. VMware ACE ile yarat›lm›fl sanal makinalar›n host sistem üzerindeki ayg›tlara (yaz›c›, USB bellekler veya CD/DVD writer gibi) eriflimi e¤er istenirse engellenebilir. Digital Rights Management (DRM) özelli¤i sayesinde bu 8 BEYAZfiAPKA O¤uz ÜLKER oulker@elmer.com.tr flablon sanal makinan›n kullan›c› taraf›ndan baflka bir sistem üzerine, a¤ üzerindeki bir alana veya tafl›nabilir bir ortama kopyalanmas› engellenmektedir. VMware Virtual Desktop Infrastructure (VDI) Bu çözümün temeli, kullan›c›lar›n flirketin veri merkezindeki ESX sunucular üzerindeki sanal makinelere uzaktan ba¤lanmalar› ve ifllerini orada yapmalar› ilkesine dayan›r. Bu asl›nda VMware’in sanal sunucu yaz›l›m›n› satmaya bafllad›¤› zamandan beri ad› konulmadan kullan›lmakta olan bir çözümdür. Günümüzde pek çok ifllevin (call center, help desk, software development, test, vd) ve çal›flan›n flirket d›fl›na ç›kar›ld›¤›, d›fl kaynak kullan›m›n›n artt›¤› gözlenmektedir. Pek çok kifli art›k evlerinden veya ofise gelmeden uzaktan çal›flmaktad›rlar. VDI ile yap›lan, bu çal›flanlara merkezde kurulmufl olan VMware sanal altyap›s› üzerinde çal›flan sanal sistemler tahsis etmektir. Uzak çal›flan(lar)›n tek yapaca¤› herhangi bir PC veya thin client üzerine kurduklar› bir uzaktan eriflim yaz›l›m› ile kendi sanal sistemlerine eriflmek ve onu kullanmakt›r. VDI kullanman›n yararlar› aras›nda flunlar say›labilir: Geliflkin güvenlik. Kurum için kritik bilgiler ve uygulamalar kurum içindeki altyap› içinde kalm›fl olur, d›flar› ç›kmaz. Böylelikle, Sarbannes-Oxley, HIPAA ve Gramm-Leach-Bliley gibi düzenlemelere de s›k› s›k›ya uyulmufl olur. Ayr›ca, d›fl kaynak sa¤lay›c›s› flirket ile sözleflme bitti¤i zaman veya bir çal›flan iflten ayr›l›p a¤ eriflimleri kesildi¤inde bile onlar›n kullanm›fl olduklar› sanal makinalar hala sizin elinizin alt›ndad›r. Donan›m ba¤›ms›zl›¤›. Uzak kullan›c›lar›n gereksinimi olan tek fley bir uzak eriflim program› oldu¤u için, d›fl kaynak sa¤lay›c›s› flirketler kendi masaüstü donan›mlar›n› istediklerini belirleyebilirler. Veya bir uzak çal›flan isterse bir internet cafeden bile çal›flabilir!.. Geliflkin masaüstü yönetim, destek ve geri dönüfl. Veri merkezindeki sistem yöneticileri, uzak çal›flanlar için haz›rlad›klar› sanal makinalar› Virtual Center ile kolayl›kla yönetebilirler. Donan›m ve uygulamada standardizasyon çok kolay bir biçimde sa¤lanabilir. Güncellemeler ve yedeklemeler, kullan›c› müdahalesi olmadan kolay ve güvenli bir biçimde yap›labilir. ESX sunucular üzerindeki her bir uzak masaüstü sistem bir di¤erinden izole bir biçimde çal›flt›¤› için herhangi birinin çökmesi durumunda di¤er sistemler çal›flmaya devam ederler. Çöken sistem ise çok k›sa bir zamanda aya¤a kald›r›labilir. Üzerinde sanal masaüstü sistemler çal›flan bir ESX sunucu çok yüklenirse sanal masaüstü sistemlerin bir k›sm› baflka sunucular üzerine sistemler çal›fl›rken bile aktar›labilir. Bir VDI altyap›s› flekilde gösterildi¤i gibidir. Veri merkezi taraf›nda gerekenler ESX Server ve VirtualCenter yaz›l›mlar›, ofis d›fl› kullan›c› taraf›nda ise üzerinde uzak eriflim yaz›l›m› kurulu bir masaüstü sistem veya bir ince ifllemcidir. Bu ürünler hakk›nda daha fazla bilgi VMware’in VIP Reseller’i olan Elmer Yaz›l›m’dan temin edilebilir. .net Güvenli¤i .NET Framework 2.0, Windows güvenlik araçlar›, SQL güvenli¤i bize bu kolayl›¤› sa¤layabiliyor. Örne¤in “Membership ve Role Providers” bize her uygulamam›zda kullanabilece¤imiz haz›r kullan›c› bilgilerini saklama araçlar›n› sunuyor. Login kontrolleri bu araçlar›n ara yüzü olarak çal›fl›p kullan›c› ismi flifresi ve di¤er bilgilerini otomatik olarak standart ama ayarlanabilir bir güvenlik altyap›s› içinde sakl›yor. Böylece kullan›c› hesaplar›n› açmak, bunlar› flifrelemek, saklamak, rol tan›mlamak, gerekti¤inde istedi¤imiz flekilde de¤ifltirebilece¤imiz s›n›flar bize sunuluyor. Bilgisayar güvenli¤inde iki kilit oyuncu vard›r: yaz›l›m› üreten uygulama gelifltiricisi ve bunu kurup biçimleyen sistem yöneticisi. Birçok güvenlik kitab› sistem yöneticilerine yöneliktir. Ancak kötü niyetli giriflleri ve sald›r›larla ilgilenen kodun yaz›lmas› sorumlulu¤u yaz›l›mc›lar›n elindedir. Kulland›¤›m›z yaz›l›m›n , kimlik belirleme, yetkilendirme, gizlilik, bütünsellik, güvenilirlik ve kiflisellik gibi temel özellikleri standart olarak bar›nd›rmas› gerekir. .NET ile birlikte bu özelikler araç olarak yaz›l›mc›lara sunulmufl, .NET 2.0 ile ise yaz›l›mc› ve güvenlik uzmanlar›n›n istekleri ile daha da gelifltirilmifl ve kolay kullan›ml› araçlar olarak verilmifltir. Bilgisayar güvenli¤inde iki kilit oyuncu vard›r: yaz›l›m› üreten uygulama gelifltiricisi ve bunu kurup biçimleyen sistem yöneticisi. Örnek olarak System.Security s›n›f›n› gösterebiliriz. Bu s›n›f verileri Data Protection API kullanarak saklayabilir. Managed stringlerin haf›zada saklanmas› bir güvenlik a盤› do¤urabilece¤inden (Garbage collector taraf›ndan al›nan stringler bir sure üzerlerine yaz›lmadan saklan›rlar) dolay›s› ile bir süre sonra haf›zada program›n kendi içinde kulland›¤› gizli bilgiler memory taramas› ile ö¤renilebilir. Bu sorunu çözmek amac› ile SecureString s›n›f› kullan›labilir. SecureString’in içindeki bilgi her zaman için flifrelenerek saklan›r. fiifre anahtar› ise yerel güvenlik alt sistemi (LSASS.EXE) taraf›ndan sa¤lan›r. Veriler ise interprocess communication ile decrypt edilece¤inden, stringlere at›lan gizli bilgeler haf›za taramas› ile çal›namaz. Bu ise .NET Framework 2.0 içerisinde olan yüzlerce Güvenlik s›n›f, özellik ve metotlar›ndan yaln›zca biri. Görüldü¤ü gibi bu gibi araç ve kolayl›klar ile yaz›l›mc› flifreleme ve depolama algoritmalar› ile u¤raflmak yerine bu s›n›flar› kullan›p kendi yaz›l›m›n›n özelliklerini gelifltirmeye odaklanabilir ve baflta bahsetti¤imiz, güvenli¤in ikinci plana at›lmas›, sorunu yaflanmadan çözülmüfl olur. Peki gelifltirdi¤imiz uygulamalar›n ne kadar güvenli oldu¤unu ölçmek hiç akl›n›za geldi mi? E¤er güvenli¤e önem veriyorsan›z, uygulaman›z›n tehditlere karfl› ne kadar güvende oldu¤unu ölçmeniz flart. Güvenlikte de art›k performans ölçümleri gibi seviye ölçümleri yap›labilir. Unutmamak laz›m ki; ölçemedi¤iniz bir fleyi iyilefltiremezsiniz, ayr›ca de¤erlendirmeler s›ras›nda hiç düflünmedi¤iniz aç›klar› da yakalayabilirsiniz. Güvenlik ölçümleri için en çok kullan›lan yöntemler aras›nda OCTAVE (Operationally Critical Threat, Asset, and Vulnerability) ve STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege) say›labilir. Bu yöntemler, uygulaman›n varl›klar›n›n belirlenmesi, bileflenlerine ayr›lmas›, tehditlerin belirlenmesi, derecelendirilmesi ve uygulama bileflenlerinin bu Gürkan SALK gurkans@microsoft.com tehditlere ne derece maruz kald›klar›n›n derecelendirilmesi ile uygulan›r. Sonuçta ç›kan de¤erler de hem güvenli¤i ölçmek hem de güvenli¤i artt›rmak için kullan›labilir. Sonuç olarak uygulamalar›m›z›n güvenli olmas› için bize .NET 2.0 ile sunulan araçlar› detayl› olarak incelemek ve gerekli yerlerde kullanmak, hem uygulamam›z›n güvenli¤ini artt›racak hem de uygulama gelifltiricilerin zamanlar›n› güvenlik aç›klar›n› kendileri kapatmak yerine oluflmadan önlemelerini sa¤layacakt›r. Bunun yan› s›ra kod gözden geçirme ve güvenlik de¤erlendirmeleri ile yaz›l›m›n›z›n güvenilirli¤inin de sa¤lamas› yap›lm›fl olacakt›r. Son olarak güvenlik için önerilen baz› noktalar› da s›ralamakta fayda olaca¤› görüflündeyiz. Genel Kodlama Kurallar› 1. Tüm girdilerin kontrol edilmesi, her giriflin kötü amaçl› olaca¤› varsay›m› ile girifl güvenli¤inin sa¤lanmas› 2. Buffer overrun kontrolünün yap›lmas› 3. Hata ve bilgi mesajlar›nda kötü niyetle kullan›labilecek bilgi verilmemesi 4. Exception handling için kiflisellefltirme kontrolünün yap›lmas› 5. En az yetki prensibinin uygulanmas› 6. Her aflamada yetki kontrolünün uygulanmas› 7. Kritik bilginin mutlaka flifrelenmesi 8. Gerekirse tek yönlü flifreleme uygulanmas› 9. Assembly’ler için strong name kulan›lmas› 10. Partial trust’›n her aflamada kontrol edilmesi 11. Stack trace’e izin verilmemesi 12. Unmanaged code ve wrapper’lar›n çift kontrolden geçirilmesi 13. FxCop ve di¤er güvenlik araçlar›n›n kullan›larak yaz›l›m›n›z›n kod testinin yap›lmas› 14. Bir güvenlik modeli ile uygulaman›z›n ve sisteminizin güvenli¤inin ölçülmesi 15. Kurulum güvenli¤inin ihmal edilmemesi Uygulama Sunucusu Güvenlik Kurallar› 1. ‹flletim sistemi güvenli¤inin biçimlendirilmesi 2. MBSA kullan›lmas› 3. ‹flletim sistemi service pack’nin ve patch’lerinin yüklenmesinin ihmal edilmemesi 4. Sadece gerekli servislerin kurulmas› 5. Sadece gerekli yetkinin verilmesi 6. Uygulama hesaplar›n›n asgari yetki ile yarat›lmas› 7. Defense in Depth prensiplerinin uygulanmas› SQL server Güvenlik kurallar› 1. Son servis pack’in kullan›lmas› 2. MBSA kullan›lmas› 3. Windows Authentication’n›n biçimlendirilmesi 4. Sunucunun izole edilmesi ve yedeklenmesi 5. sa flifresinin kontrol edilmesi 6. SQL servislerinin asgari yetki ile çal›flt›¤›n›n kontrol edilmesi 7. Firewall portlar›n›n kontrol edilmesi 8. Kurulum dosyalar› ve örnek veritabanlar›n›n silinmesi 9. Ba¤lant›lar›n ve hatalar›n gözden geçirilmesi BEYAZfiAPKA 9 Son birkaç y›ld›r Google (www.google.com) arama motorunu kullanarak, internete aç›k sunucularda konfigürasyon hatalar› sebebi ile dosyalara ulaflman›n mümkün oldu¤una dair makaleler oldukça yayg›n. Google, herkesin belki de günde onlarca kez ziyaret etti¤i, internetin medyum'u olarak adland›r›lan, 'Google'lamak (to google) deyimiyle sözlüklere girmifl, çok bilinen ve güçlü tarama motorudur. Kullan›c›lar›na verdi¤i çok farkl› hizmetlerle (harita, diller aras› çeviri, sesli iletiflim vs.) bilinen Google son zamanlarda sald›rganlar›n da yo¤un flekilde kulland›¤› bir site haline geldi. Google Hacking kavram›n›n ard›ndaki fikir, asl›nda oldulça basittir. Tarama sonucunda genelde size gösterilen sonuçlar html/php sayfalar›d›r. Ancak bunun ötesinde akla gelebilecek her türlü dosya arama ifllemi de yap›labilir. Google tarama motorunda 'Index of / +banques +filetype:xls' gibi bir araman›n yap›l›p Frans›z bankalar›ndan baz› önemli Excel dosyalar›n›n sald›rganlar taraf›ndan ele geçirildi¤i, internetteki tart›flma sitelerinde yer almaktad›r. Ayn› teknik, sadece Excel dosyalar›n› bulmakta de¤il; *.doc, *.pdf, *.ps, *.ppt, *.rtf, hatta password *.pwd dosyalar›n› bulmakta, daha da ileriye gidecek olursak *.mdb, *.db gibi database dosyalar›n› aramakta dahi kullan›labilir. Basit bir örnek verecek olursak: Google tarama motoruna yaz›lan “Select a database to view” aramas›n›n ver- yaz›lmas› durumunda ilgili sayfan›n dizin listesini verir. Inurl: Verilen sözcük URL'de aran›r. Site: Verilen sözcü¤ün sadece belirli domainlerde aranmas›n› sa¤lar. “Admin” sözcü¤ünün, sadece .com veya .edu sitelerinde aranmas› site opsiyonuna örnektir. Bu tip bir aramay› .gov ve .mil domainlerinde de yapabilirsiniz. Intitle: Aranmak istenen sözcü¤ün, web sayfalar›n›n bafll›klar›nda aranmas›n› sa¤lar, “Intitle: admin pages” buna bir örnektir. Yukar›da bahsetmifl oldu¤umuz arama opsiyonlar› tek tek veya ayn› anda kullan›labilir. Örnek verecek olursak: TR domainli sitelerde ismi password olan Excel dökümalar›n› aramak için kullanmam›z gereken arama bilefleni, site:Tr filetype:xls "password"dür. “Index of” “Oracle-HTTP-Server” Server at Port “Last modified” arama opsiyonu kullan›ld›¤› takdirde sonuç afla¤›daki gibi olacakt›r. Bu tip arama teknikleri kullan›larak her türlü bilgiye ulaflmak oldukça kolayd›r. Sald›rgan sadece Google tarama fiekil 1 10 BEYAZfiAPKA di¤i sonuçlar› kullanarak afla¤›daki gösterilmifl olan sayfalara ulaflmak oldukça basittir. (fiekil 1) Bafll›ca tarama opsiyon listesi: Index of: Directory listing için kullan›l›r. “Index of Admin” motorunu kullanarak birçok bilgiye ulaflabilir, dosyalar› kopyalayabilir; hata mesajlar› Google kullan›larak taranabilir, yamas›z web sunucular› hedef haline gelebilir. Password dosyalar›ndan flifreler al›nabilir ve sisteme izinsiz girifl için rahatl›kla kullan›labilir. Underground Coflkun KAM‹LO⁄LU coskun_kamiloglu@mcafee.com Google hacking sald›r›lar›ndan korunmak için kullan›labilir en güçlü silah›n basit bir txt dosyas› oldu¤unu biliyor musunuz? Internet arama motorlar› bir siteyi taramaya bafllamadan once web sunucusunda robots.txt adl› bir dosya arar. Bu basit txt dosyas›, arama motorunun nereyi indekslemesi, nereyi indekslememesi gerekti¤ini söyler. Basitçe, robots.txt dosyas›n›n içine arama motorlar›n›n hangi dosya ve dizinleri taramas› gerekti¤ini söyleyebildi¤imiz gibi, indekslemesi yasaklanm›fl dosya ve dizinlerimizi de belirtebiliyoruz. Hem de her bir arama motoru için ayr› ayr› kural yazabiliyoruz. ‹flte önemli dizinlerin arama motorlar›nca indekslenmesini engelleyen robots.txt içeri¤i: User-agent: * Disallow: /sepet/ Disallow: /gizli/ Disallow: /admin/ Disallow: /tmp/ Disallow: /upload/ Disallow: /exchange/ Disallow: /~ Disallow: /stats/ Sald›rgan sadece Google tarama motorunu kullanarak birçok bilgiye ulaflabilir, dosyalar› kopyalayabilir. Bu tip sorgular›n bir databasede toplanm›fl haline Google Hacking Database (GHDB) denir. Database, 700'den fazla say›da farkl› tarama imzas› içerir. http://johnny.ihackstuff.com adresinden database içeri¤i ve nas›l kullan›labilece¤i detayl› olarak incelenebilir. Bu database kullan›larak web sitelerinde aç›k arayabilen bir çok bedava yaz›l›m da internet üzerinde mevcuttur. Sensepost Wikto bu yaz›l›mlardan biridir. Yaz›l›mlar›n proxy deste¤i mevcut oldu¤undan yap›lan sald›r›lar›n hangi adresten geldi¤ini tespit etmek oldukça güçtür. Bir di¤er yaz›l›m ise McAfee Sitedigger™'d›r. Sitedigger hem Google hacking database'ini kullanabilir, hem de Foundstone imza database'ini kullanabilir. Ürün sadece web sitelerinde flimdiye kadar bahsetmifl oldu¤umuz aç›klar›n bulunup kapat›lmas› için tasarlanm›fl olmas› sebebi ile proxy üzerinden kullan›lamaz. Sitedigger kullan›larak tek bir site veya tüm domain taranabilir ve bu tip sald›r›lara karfl› web sunucular›n›n davran›fllar› gözlemlenebilir. Afla¤›da Foundstone Sitedigger kullan›larak .NZ domaini taranm›fl ve karfl›m›za ç›kan yüzlerce web sitesinden xls içeren bir tanesi örnek olarak kullan›lm›flt›r. Belirtilen link bir web browser'a yaz›ld›¤› takdirde sunucu excel dosyas›n› göndermifltir. Robots.txt hakk›nda daha fazla bilgi için http://www.robotstxt.org sitesini ziyaret edebilirsiniz. Robots.txt dosyas›n›n haricinde Html Meta Tag bilgileri ile de arama motorlar›na her bir sayfa için indeksleme ya da indekslememe emri verebiliyoruz. <META NAME="ROBOTS" CONTENT="NOINDEX"> Elbette sadece Robots.txt ve Meta Tag kullan›m› Google Hacking’e maruz kalmam›z› engellemeyecektir. Çünkü birçok haz›r yaz›l›m Google Hacking taraf›ndan avlanabilir. Dolay›s› ile Google Hacking Database kullanabilen yaz›l›mlarla kendi sitemizi taramam›z, siber korsanlardan once web aç›klar›m›z› tespit etmemiz ve kapatmam›z gerekir. Güvenlik bir h›z yar›fl›d›r, h›zl› olan kaybetmez. Siber korsanlardan h›zl› olman›z dile¤i ile… KAYNAKÇA: http://johnny.ihackstuff.com/ http://www.mcafee.com http://www.foundstone.com http://www.robotstxt.org BEYAZfiAPKA 11 Uygulama H›zland›rma Web sadece bir iletiflim yöntemi de¤il, stratejik bir ifl arac›d›r. Bu yüzden kurumlar stratejik ifl yaz›l›mlar› olan client/server mimarili PeopleSoft, SAP, Oracle, Siebel ve Outlook gibi yaz›l›mlar›n web versiyonlar›na geçifl yap›yor. Özellikle büyüyen flirketlerin kullan›c›lar›n›n büyük bir k›sm›n›n merkez ofis ve sistemden uzakta çal›flmalar› web tabanl› uygulamalar› kullanmay› zorunlu hale getiriyor. Zorunlulu¤un iki temel sebebi vard›r. ‹lk sebep, flüphesiz performans: Hangi flirket h›zl› ve kesintisiz çal›flmak istemez? ‹kinci sebep ise maliyet: Yüksek bant geniflli¤i, çok büyük kapasiteli sunucular ya da her flubeye bir online/offline sistem kurmadan ve bu sistemlerin bak›m maliyetlerine girmeden web uyumlu yaz›l›mlar ile çok daha h›zl› ve çok daha düflük maliyetle çal›flabiliyoruz. Üstelik web uyumlu yaz›l›mlar›m›z› internet ya da extranet gibi ortamlara kolayca tafl›yabiliyoruz. Bu yeni sistemlerin yükünü omuzlar›na alan kritik noktam›z ise Data Center’›m›z. Sunucular›m›za eriflim imkânlar›n› art›rmak için yük dengeleme sistemleri, özel anahtarlama sistemleri kullan›yoruz. Güvenli¤i de düflünüp SSL uygulamalar› yap›yoruz. Juniper tüm bu ihtiyaçlar› anl›yor ve web uygulamalar›nda a¤ optimizasyonu sa¤lamak için DX Application Acceleration (Uygulama H›zland›r›c›s›) platformunu müflterilerine sunuyor. Bu yaz›da k›saca, DX Application Acceleration platformunun teknolojisini sizlerle paylaflmaya ve hangi sistemlerde bu platformlar› kullanabilece¤imizi anlatmaya çal›flaca¤›m. Yo¤un web uygulamas› kullan›m› olan sistemlerin tamam›nda DX platformlar› kullan›labilir. 12 BEYAZfiAPKA DX mimarisi DX platformu, web uygulamalar›n› h›zland›rmak, DoS ve benzeri d›fl tehditlerle bafl edebilmek ve genifl bir Data Center’› h›zland›rmak amac›yla dört ana özellik üzerine dizayn edilmifl özel bir mimariye sahiptir. 1. H›zland›rma Web uygulamalar›nda kötü performans›n iki temel sebebi vard›r; sunucular›n afl›r› yük alt›nda bulunmas› ve yetersiz ya da kalitesiz a¤ yap›s›. Sunucular gelen isteklerin tamam›n› karfl›lamakla yükümlüdür. Bu afl›r› yük ifllem görürken, daha kritik uygulamalar›n yavafllamas› kaç›n›lmazd›r. TCP ba¤lant› yönetimi ve SSL flifreleme ve sonland›rma ifllemleri özellikle tekrar edilen isteklerde yo¤un bir yük yarat›r. DX platformu bu noktada tcp ba¤lant›lar›n› düzenleyerek oturum bombard›man›na son verir. Uygulama cevap süresini yükseltmek için DX 3Gbyte boyutunda özel bir DRAM mimarisi ile donat›lm›flt›r. Özellikle s›kça talep edilen web içerikleri henüz sunucuya ulaflmadan tampon bellekten h›zl›ca gönderilebilir. DX platformu nerelerde kullan›labilir? Yo¤un web uygulamas› kullan›m› olan sistemlerin tamam›nda DX platformlar› kullan›labilir. DX platformunun bafll›ca kullan›ld›¤› web uygulamalar› olarak internet portallar›, B2B/B2C shopping uygulamalar›, internet bankac›l›¤› ve benzeri uygulamalar, web tabanl› intranet/extranet sistemleri, yüksek kullan›c› say›s›na sahip Outlook Web Access ve benzeri sistemler, web tabanl› ERP/MRP yaz›l›mlar› ve müflteri iliflkileri yönetim yaz›l›mlar› say›labilir. Özellikle Türkiye gibi henüz çok geliflmifl bir internet altyap›s›na sahip olmayan ülkelerde genel kullan›m tarz› internet üzerinden h›zl› web hizmeti vermektir. DXOS: DX Operating System DX Application Acceleration platformu DX Operating System ile güçlendirilmifl özel bir üründür. DXOS’un trafik s›k›flt›rma, flifreleme, yük dengeleme ve adapte edilebilir içerik iflleme özellikleri DX platformunun her modeline entegre edilmifl durumda. Yüksek performans, düflük maliyet DX platformu Data Center’lar için ideal bir uygulama h›zland›rma çözümüdür. Sunucu kapasitesini ortalama üç ya da dört kat art›rabilen DX platformu % 80’e kadar maliyetleri düflürebilir. Söz konusu sistem tasar›m aflamas›nda ise DX platformu iyi bir yat›r›m maliyeti düflürme arac› olacakt›r. Halen çal›flan sistemlere de kolayca entegre edilebilen ürün ek yat›r›m gerekmeden sistemi geniflletmeye olanak tan›r. WAN ya da internet ba¤lant› h›z›m›z›n yetersiz kalmas›n›n ya da kalitesinin düflük olmas›n›n getirdi¤i performans sorunlar› DX platformu ile kolayca çözülür. Keep-alive özelli¤i ile h›zl› oturum açma imkân› sa¤lan›rken SSL h›zland›rma özelli¤i flifreleme hizmetlerinde performans sa¤lar. DX platformu istemci internet taray›c›lar›n› s›k kullan›lan içerik için önbellek tutmaya zorlayabilir ve a¤ iletiflimi yükünü azalt›r. HTML, SHTML, DHTML, JHTML, PHTML, Javascript, J2EE, JSP, CSS, WebDay, XML ve SOAP altyap›lar›n› destekleyen DX platformu ifl hayat›n›n en büyük parçalar›ndan biri olan Microsoft Office dokümanlar›na da s›k›flt›rma uygulayabilir. Bu geliflmifl özellikleri ile karfl›laflt›r›labilir di¤er çözümlerden % 25 daha fazla performans sa¤lar ve lokal a¤ deneyimini tüm kullan›c›lara dünyan›n her yerinde sunar. Tunç GÜNERGÜN tgunergun@juniper.net A¤ seviyesi güvenli¤i özellikleri SYN flood ve di¤er DoS ataklar›na karfl› duyarl›d›r. 2. Eriflilebilirlik DX platformu Layer4-7 aras›nda sunucu yük dengeleme özelli¤i sunarak kaynaklara h›zl› eriflim sa¤lar. Patentli Fewest Outstanding Requests (FOR) algoritmas›, etkili http yük dengelemesi yapmaktad›r. Round-robin ve bilinen di¤er yük dengeleme tekniklerinden farkl› olarak FOR, uygulama seviyesinde tam olarak her bir sunucu için kaç http iste¤inin bekledi¤ini bilerek çal›fl›r. Yeni eriflim istekleri, iste¤i karfl›lamaya en müsait olan sunucuya gönderilerek di¤er sunucular›n optimal çal›flmas› sa¤lan›r. Ayr›ca Global Server Load Balancing (SLB) özelli¤i sunucular›n yan› s›ra Data Center’lar aras›nda yük dengeleme yap›lmas›na olanak tan›r. Bu özellik iyi bir performans kayna¤› oldu¤u gibi iyi bir Disaster Recovery çözümüdür. HTTP protokolü gere¤i bulunan 404-Page not found ve 500-Server busy hatalar› DX platformunun http Proxy özelli¤i sayesinde, özellikle tekrarlanan denemelerde önemli bir bant geniflli¤i korumas› sa¤lar. ActiveN ölçeklendirme özelli¤i ile h›zla büyüyen sistemlere kolayca yeni DX platformlar› eklenebilir. 64 DX cihaz› “Mesh” topolojisi ile kümelendirilerek tek bir cihaz gibi davranmas› sa¤lanabilir. Di¤er yük dengeleme çözümlerinin aksine DX platformunda kümelendirilmifl tüm cihazlar aktif çal›flt›r›labilir ve görülmemifl bir performans yarat›labilir. 3. Güvenlik Internal Firewall özelli¤i DX platformunun Layer 4-7 aras›nda çal›flarak web uygulamalar›na ve sunuculara yap›lacak TCP ve HTTP ataklar›n› önler. DX platformu istemci ve sunucu aras›nda bir tampon gibi çal›flarak ikinci bir güvenlik katman› yarat›r. Kimlik do¤rulama her bir kullan›c› için çal›flt›r›l›r ve istek tabanl› kimlik do¤rulama talepleri platformun mevcut RADIUS ve LDAP altyap›s›na gönderilebilir. A¤ seviyesi güvenli¤i özellikleri SYN flood ve di¤er DoS ataklar›na karfl› duyarl›d›r. ‹stenirse tüm oturumlar SSL flifrelemesine tabi tutulabilir, bu sayede güvenli¤inden flüphe edilen uygulamalara kolayca güvenlik sa¤lanabilir. 4. Görüfl ve Kontrol Göremedi¤iniz bir fleyi yönetemezsiniz. DX platformu 200’den fazla anl›k performans istatisti¤i ile gelen/giden trafi¤i raporlayabilir. Geçmifl y›llara kadar uzanan genifl bir yelpazede raporlama (Historical Reporting) özelli¤i kullan›labilir ve grafiksel raporlar ile detayl› bilgi toplanabilir. Bu bilgilerin tamam› birçok dosya ve sitem biçimine aktar›labilir ve yönetim yaz›l›mlar› ile entegrasyon sa¤lanabilir. AppRules AppRules özelli¤i web uygulamalar›n› yeniden gelifltirmeye gerek duymadan yaz›l›ma müdahale imkân› sa¤lar. Bu sayede kurumlar yaz›l›m gelifltirme maliyetlerinden ve zamandan tasarruf sa¤layabilirler. S›n›rs›z say›da kural›n hem gelen hem de giden trafik için yaz›labilmesine olanak tan›yan AppRules özelli¤i SAP, Oracle, Outlook Web Access, PeopleSoft, Siebel, SharePoint gibi bilinen birçok web tabanl› uygulamay› destekler. Hem Application Acceleration çözümleri, hem de di¤er Juniper Networks çözümleri hakk›nda detayl› bilgi için bizimle irtibata geçebilirsiniz. BEYAZfiAPKA 13 e-Ticaret Güvenli¤i ve Kredi kart› bilgilerini elektronik ortamda iflleyen tüm kurulufllar için geçerli k›l›nan PCI-DSS ile güvenlik ihlallerini azaltacak bir dizi temel güvenlik önleminin al›nmas› hedefleniyor. 14 BEYAZfiAPKA Elektronik ortamda gerçeklefltirilen ticaretin hacmi artt›kça bu alanda gözlenen suçlarda da önemli bir art›fl söz konusu olmufltur. Kredi kart› bilgilerinin çal›nmas›, sahtecilik vb. suçlarda önemli bir art›fl gözlenmifl, baflka kredi kart› yay›mc›lar› (Mastercard, Visa vb.) olmak üzere bankalar ve e-ticaret yapan kurulufllar önemli ölçüde zarar görmüfltür. 2005 y›l› bafl›nda Ödeme Kart› Endüstri Forumu (Payment Card Industry Forum - PCI) bir veri güvenli¤i standard› (PCI Data Security Standard – PCI-DSS) oluflturmufl ve tüm e-ticaret uygulay›c›lar›n›n bu standarda uyumunu zorunlu k›lm›flt›r. PCI Forum’u oluflturan kurulufllar aras›nda Visa, Mastercard, Amex gibi tan›nm›fl kredi kart› yay›mc›lar› yer almaktad›r. Kredi kart› bilgilerini elektronik ortamda iflleyen tüm kurulufllar için geçerli k›l›nan bu standart ile güvenlik ihlallerini azaltacak bir dizi temel güvenlik önleminin al›nmas› hedeflenmektedir. Standard›n tüm kurulufllar taraf›ndan kullan›lmas› ile küresel bir baz güvenlik düzeyinin oluflturulmas› hedeflenmektedir. Di¤er bir deyiflle standart, olas› en yüksek güvenlik düzeyini hedeflememektedir, yaln›zca en temel önlemler konu edilmektedir. PCI Forumun önümüzdeki y›llar içerisinde baz güvenlik düzeyini yavafl yavafl art›rmas› beklenmektedir. Kredi kart› bilgilerini iflleyen, depolayan ve transfer eden tüm kurulufllar (e-ticaret sat›c›lar›, bankalar, arac› kurulufllar vb.) standart taraf›ndan öngörülen önlemleri almak ve bunlar›n sonucunda standart uyumlulu¤unu sa¤layarak bunu sürekli korumak durumundad›r. Standart, alt› ana bafll›k alt›nda toplanm›fl on iki maddelik bir yap›lmas› gerekenler listesini içermektedir: A. Güvenli bir a¤ kurun ve iflletin 1. Verilerinizi korumak için bir güvenlik duvar› konfigürasyonu kurun ve iflletin 2. Sistem güvenlik parametreleri ve parolalar için üreticilerin ön-tan›ml› de¤erleri kullanmay›n B. Kart sahibi bilgilerini koruyun 3. Depolanan verileri koruyun 4. Kart sahibi bilgileri ve di¤er hassas verileri a¤ üzerinden transfer edilirken flifreleyin C. Bir zafiyet yönetimi program› gelifltirin 5. Anti-virüs yaz›l›mlar›n› düzenli olarak kullan›n ve güncelleyin 6. Güvenli sistemler ve uygulamalar gelifltirin ve iflletin D. Güçlü eriflim denetimi mekanizmalar› uygulay›n 7. Bilgilere eriflimi gerekti¤i kadar bilgi prensibi do¤rultusunda k›s›tlay›n 8. Bilgisayar eriflimi olan herkese tekil bir kimlik atay›n 9. Kart sahibi bilgilerine fiziksel eriflimi k›s›tlay›n E. A¤lar› düzenli olarak izleyin ve test edin 10. A¤ kaynaklar›na ve kart sahibi bilgilerine tüm eriflimleri izleyin 11. Güvenlik süreçlerini ve sistemlerini düzenli olarak test edin F. Bir güvenlik politikan›z olmal› 12. Bilgi güvenli¤ini adresleyen bir politikan›z olsun PCI Veri Güvenli¤i Standard› Burak DAYIO⁄LU burak.dayioglu@pro-g.com.tr Standarda iliflkin baz› maddelerin (örne¤in 1, 2, 4, 5, 8 ve Kredi kartlar›n› elektronik ortamda iflleyen tüm kuru12. maddeler) karfl›lanmas› göreli olarak kolayken lufllar›n (elektronik ticaret yapan firmalar, bankalar, IP baz›lar›n›n karfl›lanmas› daha karmafl›k olabilmektedir. tabanl› POS altyap›s› kullanan marketler ve di¤er perKredi kart› bilgilerinin depolanm›fl halde korunmas›n› akendeciler vb.) bu standarda uymal›d›r. Standard›n hedefleyen 3 numaral› maddenin sa¤lanmas› daha güç uygulanmas›ndan her kurulufl kendi bafl›na sorumolabilir; kredi kart› bilgileri mümkünse saklanmamal›, sakludur. Standarda uymayan kurulufllar, Mastercard ve lanmalar› zorunlu ise kredi kartlar› üzerindeki veriler bir Visa taraf›ndan 2.000 ilâ 500.000 dolar cezaya bütün halinde saklanmamal›d›r. Kartlar›n arka yüzünde çarpt›r›labilir, uygunsuz ticari ifllemlerin tümünden bas›l› olan CVV2 ya da CVC2 de¤erleri ise hiç bir koflul do¤rudan sorumlu tutulabilirler ve bir daha kredi kart› alt›nda saklanmamal›d›r. ifllemi yapamayacak biçimde hizmetten men Listelenen maddelere iliflkin detaylar kredi kartlar› ile elekedilebilirler. tronik ortamda ifllemler gerçeklefltiren kurulufllar Detaylar›na bak›ld›¤›nda, maliyeti yüksek olmayan bir taraf›ndan detayl› biçimde incelenmeli ve gereksinimleri çal›flmalar dizisi ile PCI Veri Güvenli¤i Standard›’na karfl›lanmal›d›r. uyumun sa¤lanmas› ve korunmas›n›n mümkün oldu¤u PCI Veri Güvenli¤i Standard› kredi kart› ifllem hacimlerine görülecektir. Standard›n gerektirdi¤i temel önlemleri göre kurulufllar› dört düzeyde ele almaktad›r. En alt almam›fl olman›n güvenlik ihlallerine davetiye ç›kartadüzeydeki kurulufllar için kurulufllar›n standart uyumluluk ca¤› da göz önünde bulundurulmal›d›r. beyanlar› (ben standarda uyuyorum ifadelerini gösteren anket sonuçlar›) yeterli iken, ifllem hacmi Standarda iliflkin detayl› bilgilere çok yüksek kurulufllar için stanafla¤›daki adreslerden eriflilebilir: dard›n uyumlulu¤unun yetkilendirilmifl bir denetçi firma taraf›ndan l https://sdp.mastercardintl.com/pdf/pcd_manual.pdf gerçeklefltirilmesi hedeflenmifltir. Düzeylendirme ile ifllem hacmi da(PCI Standart K›lavuzu) ha yüksek olan ve bu nedenle de l https://sdp.mastercardintl.com/doc/758_pci_self_assmnt_qust.doc güvenlik ihlali söz konusu oldu¤un(Durum De¤erlendirme Anketi) da parasal kayb›n daha büyük oll https://sdp.mastercardintl.com/pdf/pcs_manual.pdf du¤u kurulufllar›n daha iyi bir bi(Zafiyet Tarama Yönergesi) çimde kontrol alt›nda tutulmas› hel https://sdp.mastercardintl.com/doc/pci_audit_procedures.doc deflenmektedir. Kurulufl düzeyleri(Güvenlik Denetimi Yönergesi) ne ve denetim/kontrol gereksinimlerine iliflkin tablo afla¤›daki gibidir: Standard›n uygulanmas›ndan her kurulufl kendi bafl›na sorumludur. Standarda uymayan kurulufllar, Mastercard ve Visa taraf›ndan cezaland›r›l›r. Firma Düzeyi Seçim Kriteri Denetim Gereksinimi 1. Düzey l Y›ll›k 6 milyon ve üzeri kredi kart› ifllemi l Daha önce bir güvenlik ihlalinin söz konusu oldu¤u kurulufllar l Kart yay›mc›s› taraf›ndan seçilerek 1. Düzey olarak belirlenenler l l Y›ll›k yerinde denetim Her üç ayda bir zafiyet taramas› Denetçi Yerinde denetim Visa taraf›ndan yetkilendirilmifl firmalarca ya da flirket tepe yöneticisince onayland›¤›nda iç denetim birimi taraf›ndan gerçeklefltirilir l Mastercard taraf›ndan yetkilendirilmifl tarama sa¤lay›c›lar›nca gerçeklefltirilir l 2. Düzey l Y›ll›k 150.000 ila 6 milyon aras› kredi kart› ifllemi l Y›ll›k PCI durum de¤erlendirme anketi l Her üç ayda bir zafiyet taramas› l Mastercard taraf›ndan yetkilendirilmifl tarama sa¤lay›c›lar›nca gerçeklefltirilir 3. Düzey l Y›ll›k 20.000 ila 150.000 aras› kredi kart› ifllemi l Y›ll›k PCI durum de¤erlendirme anketi l Her üç ayda bir zafiyet taramas› l Mastercard taraf›ndan yetkilendirilmifl tarama sa¤lay›c›lar›nca gerçeklefltirilir 4. Düzey l Di¤er türm firmalar l Y›ll›k PCI durum de¤erlendirme anketi (önerilen) l Y›ll›k zafiyet taramas› (önerilen) l Mastercard taraf›ndan yetkilendirilmifl tarama sa¤lay›c›lar›nca gerçeklefltirilir BEYAZfiAPKA 15 Adli Biliflim Sistem Analizi Adli biliflim araçlar› Adli biliflim sistem analizlerinde, dikkat edilmesi gereken en önemli unsurlardan birisi de, iflletim sistemleri üzerinde yer alan ps, ls, arp, netstat, route gibi önemli komutlar›n CD/DVD ortamlar›nda yer alan güvenilir kopyalar›n›n kullan›lmas›d›r. Benzer flekilde, bu araçlar kullan›l›rken sistemleri de¤ifltirmemek için, sistemlerin lokal disklerine do¤rudan yazmak yerine harici disk birimlerine yazma ifllemleri gerçeklenmelidir. Birkaç y›l öncesine kadar, tamamen manuel olarak ve s›n›rl› say›da araçla yapmaya çal›flt›¤›m›z adli biliflim incelemeleri için günümüzde özelleflmifl birçok yaz›l›m ve araç bulunmaktad›r. Fport, ethereal, windump gibi a¤ analizi araçlardan; captive, explore2fs, dd gibi disk araçlar›n›n bir bütün olarak yer ald›¤› aç›k kaynak kodlu birçok boot edilebilir, forensics cd’leri art›k kolayl›kla bulanabilmektedir. Da¤›t›mlar› ve güncellefltirilmeleri devam eden araçlar›n bafl›nda, Knoppix tabanl› olan BackTrack, Insert, Penguin Sleuth Kit, Knoppix STD ve Helix gelmektedir. BackTrack; Auditor ve Whax güvenlik araçlar›n›n birlefltirilmesi ile oluflturulmufl, güvenlik uzmanlar› taraf›ndan daha çok penetrasyon testleri için kullan›lan, Slax tabanl› güçlü bir da¤›t›md›r. (Bkz. http://www.remoteexploit.org) lanm›fl, hem do¤rudan windows üzerinde çal›flabilen uygulamalara, hem de boot edilebilir bir linux da¤›t›m› ile windows ve linux sistemleri offline olarak inceleyebilme özelli¤ine sahip geliflmifl bir araçt›r. Yukar›da bahsedilen di¤er tüm da¤›t›mlar›n içerdi¤i adli biliflim araçlar›n›n hemen hepsini tek bafl›na içerir. (Bkz. http://www.e-fense.com/helix) t Adli biliflimin ne oldu¤u ve önemini anlatmaya çal›flt›¤›m›z yaz› dizimizin bu say›s›nda, Linux ve Windows sistemler üzerinde teknik olarak delil toplanmas›na yönelik incelemeler üzerinde duraca¤›z. Hack edilmifl, herhangi bir flekilde suç amaçl› kullan›lm›fl ya da suça alet olmufl sistemler üzerinde, adli makamlara rapor edilmek üzere titizlikle inceleme yap›lmal› ve raporlanmal›d›r. Sald›r› amaçl› kullan›lan sistemler ile sald›r›ya u¤ram›fl ya da suça dolayl› olarak kar›flm›fl ve alet olmufl sistemlerin incelenmesi birbirinden farkl›l›k arz edecektir. Adli biliflim uzman›, teknik inceleme yap›lacak biliflim sistemlerini incelemeye tabi tutmadan önce olay hikâyesini ilgili kiflilerden mutlaka dinlemeli ve buna göre strateji belirleyerek araçlar›n› haz›rlamal›d›r. fiekil-2 Helix windows taraf› olay müdahale araçlar› Adli biliflim incelemelerinde, çok say›da arac›n olmas›, hepsinin ayr› ayr› kullan›lmas›n›n gerekti¤i durumlarda inceleme yapacak uzman›n iflini zorlaflt›rarak daha da karmafl›k hale getirebilmektedir. SecureDVD projesi (Bkz. http://www.securedvd.org) birçok Knoppix tabanl› da¤›t›m› tek bir DVD içinde toplamay› baflarm›flt›r. Bu sayede tek bir boot yöneticisi ile Operator, Phlak, Auditor, LAS, STD, Helix, FIRE, nUbuntu ve INSERT araçlar›na tek bir medya ile eriflmek mümkündür. t fiekil-1 BackTrack araçlar› Penguin Sleuth Kit, linux tabanl› sistemleri incelemek üzere gelifltirilmifl, daha çok dosya sistemlerinin incelenmesinde kullan›lan sleuth kit, rootkit arayan chrootkit benzeri araçlar› içeren bir da¤›t›md›r. (Bkz. http://www.linux-foren- 16 BEYAZfiAPKA Helix, tamamen adli biliflim sistem incelemeleri için tasar- t sics.com) Standart Knoppix ve Knoppix STD da¤›t›mlar› içinde de, adli biliflim amaçl› kullan›labilecek birçok araç bulunmaktad›r. ‹flletim sistemi temel dosyalar›n›n analiz edildi¤i coreography, partition’lar› analiz eden testdisk, disk imajlar›ndan belirli dosyalar› kurtarabilen foremost benzeri birçok araç içerir. (Bkz. http://www.s-t-d.org) fiekil 3: SecureDVD boot yöneticisi Disk ve bellek imajlama Adli biliflim incelemesi yap›lan sistemler üzerinde, olaya müdahale an›nda yeteri kadar detayl› inceleme yap›lamamas› ihtimaline karfl›, daha sonra analiz yap›lmak üzere (Digital Forensics) mutlaka, disk ve belleklerinin birebir kopyalanmas› yap›lmal›d›r. Bu ifllem için, h›zl› özel donan›mlar kullan›labilmekle birlikte (Bkz. http://www.ics-iq.com), genellikle yaz›l›m araçlar› kullan›l›r. Mehmet DALYANDA dalyanda@dalyanda.com bulan efsinfo, gizli dosyalar› tarayan hfind gibi araçlar ile sistemde saatlerce sürebilecek ifllemler yapabilir. Benzer flekilde sistem üzerinde mutlaka de¤ifliklik yaparak çal›flan, modem kontrol arac› mdmcheck, paket dinleme için kullan›lan WinPcap’i arayan sniffer, dosyalar›n yarat›lma, eriflilme ve de¤ifltirilme (MAC) zamanlar›n› gösteren mac gibi araçlara da sahiptir. Bitmesi uzun süren ya da sistem üzerine yazan bu araçlar›n çal›flt›r›lmas› istenmiyorsa, wft, -noslow, -nowrite parametreleri ile çal›flt›r›labilir. Wft, windows sistemler üzerinde, dosya bilgileri, kullan›c› hesaplar›, sistem prosesleri, servisler, yüklenen uygulamalar, login olmufl kullan›c› bilgileri, sistem loglar›, a¤ konfigürasyonu ve soket bilgileri, registry, en son kaydedilmifl dosyalar, otomatik bafllayan uygulamalar, yüklü patchler, zamanlanm›fl görevler gibi birçok faydal› bilgiyi merkezi olarak toplama özelli¤ine sahiptir. Zararl› yaz›l›mlar›n aranmas› Sistemde bulunabilecek kötü amaçl› yaz›l›mlar›n bulunmas›, olay analizinin kritik noktalar›ndan birisidir. Özellikle keyloggerlar, klavyeye basitçe tak›labilen donan›mlar olarak da gerçeklenebildi¤i için, sistemin öncelikle fiziksel olarak incelenmesi gerekir. t fiekil 4: Helix windows bellek ve disk imajlama Bu ifllem için, Helix windows içinde Live Acquisition bölümündeki, dd ya da FTK Imager araçlar› kullan›labilir. ‘dd’ arac›, netcat ile ya da a¤ paylafl›mlar› ile imaj› baflka bir bilgisayara yönlendirebilir. ‹maj boyutu çok büyük oldu¤u takdirde “split image” parametresi ile cd, dvd için imaj birden çok parçaya bölünebilir. Al›nan dd imajlar›, linux sistemler üzerinde #mount –o loop /path/ddfile /mnt/mountpoint komutu ile sisteme ba¤lanabilir. FTK imager arac› kullan›larak, windows sistemler içinden de dd imajlar› incelenebilir. Windows sistemlerin incelenmesi Windows sistemler, sald›r› yüzey alanlar›n›n çok fazla olmas› ve yayg›n olarak kullan›lmas› nedeniyle, hemen tüm biliflim suçlar› olaylar›nda karfl›m›za ç›kmaktad›r. Adli biliflim sistem analizleri için, birkaç sene öncesine kadar, birçok arac› manuel olarak tek tek elle çal›flt›rmam›za karfl›n, flimdilerde batch ifllemler yapan araç kitlerini kullanma ve basit ifllemler için hemen raporlayabilme flans›m›z bulunmaktad›r. Windows Forensic Toolchest - WFT (Bkz. http://www.foolmoon.net/security/wft) bunlardan birisi olmakla birlikte güncel versiyonuna Helix içinden de eriflilebilmektedir. Wft içerdi¤i, bellek ve disk imajlama arac› dd, rootkit taramas› için Rootkit Revealer, tüm dll listesini alan listdlls, NTFS dosya sistemleri için efs ile flifrelenmifl dosyalar› t Windows sistemler, sald›r› yüzey alanlar›n›n çok fazla olmas› ve yayg›n olarak kullan›lmas› nedeniyle, hemen tüm biliflim suçlar› olaylar›nda karfl›m›za ç›kmaktad›r. Günümüzde oldukça popüler olan, keylogger, trojan benzeri casus yaz›l›mlar›n aranmas› için birçok araç beraberce kullan›lmal›d›r. Sistem online ve offline yap›larak ayr› ayr› tarama gerçeklenmelidir. fiekil 5: KL-Decector ile keylogger tespiti Easy, Invisible (IKS), Ghost, Perfect (BPK), Ardamax Keylogger yaz›l›mlar› en çok kullan›lan klavye ve ekran kaydedici yaz›l›mlard›r. Ekran kay›t görüntüleri, resim formatlar›ndan biri olmakla birlikte, ilk bak›flta tespit edilemez özelliklere de sahip olabilece¤i için, mutlaka Helix imaj tarama araçlar› ile sistem taranmal›d›r. Bir sonraki say›da görüflmek üzere... BEYAZfiAPKA 17 Hiyerarflik Arflivleme ve Yedekleme Son y›llarda ifl yaflam›n›n “etkin veri yönetimi” ihtiyac›n› karfl›lamak amac› ile uluslararas› literatürde de “Information Lifecycle Management” (ILM) olarak an›lan veri yaflam döngüsü yönetimi konsepti ortaya ç›kt›. Bu konsept; bir firman›n farkl› kullan›m amaçlar› için kulland›g› veri ve uygulamalar› (dokümanlar, e-mail, CRM-ERP bilgileri ve müflteri kay›tlar› gibi) etkin bir flekilde yönetebilmesini sa¤layacak bir modeldir. Bu sayede IT tabanl› çözümler ile kullan›c› say›s› ve veri kapasite art›fl› karfl›s›nda, verilerin korunmas›, süreklili¤i ve eriflilebilirli¤i sa¤lan›r. Günümüzde kullanmakta oldu¤umuz dosyalar›n say›s› ve boyutlar› h›zla büyümektedir. Bunun sonucu olarak bu dosyalar›n saklanmas› için gerekli olan disk alanlar›n›n artmas› gerekmektedir. Çözüm olarak kullanmakta oldugumuz server ve storage’lar üzerinde bulunan disk alanlar›n› art›rmak sorun için tek çözüm gibi görünse de, bunun, maliyeti yüksek ve pratik olmayan bir çözüm oldu¤u ortaya ç›kmaktad›r. disk üniteleri ile oluflturulacak bir yap›yla hiyerarflik olarak depolanmas› server ve storage taraf›nda bize ciddi tasarruflar sa¤lamaktad›r. Bu sayede backup ve restore ifllemlerinin sürelerinin en aza indirilmesi ile zaman konusunda da tasarruf sa¤lanmas› mümkün olmaktad›r. Maliyeti ve performans› yüksek olan alanlar, günlük çal›flmam›zda sürekli olarak ihtiyaç duydugumuz verilere eriflim için kullan›lmakta; aktif olarak kullan›lmayan veriler için daha düflük maliyetli olan disk alanlar›n› kullanarak dosyalar›n saklanmas› için gerekli olan maliyetin düflmesi sa¤lanmaktad›r. Bu konuda kullanabilece¤imiz yaz›l›mlar üzerinde çal›flma ortam›m›za uygun politikalar oluflturmak mümkündür. Mesela dosyan›n en son de¤iflti¤i ya da eriflildi¤i tarihe göre veya dosyan›n, .xls, .ppt, .doc vs. gibi uzant›lar›na göre ve tafl›n›rken bunlar›n nerelere kaydedilebilece¤ine kadar, çal›flma ortam›na uygun politikalar oluflturulabilir. Bu çözüm sayesinde öncelikleriniz desteklenmekte, depolama için kulland›g›n›z ürün maliyetleri azalmakta buna karfl›n düzgün bir yap›da büyümenizin devam› sa¤lanmaktad›r. Elimizdeki dosyalar›n hangisini silip sistemden ç›kartabiliriz? Bu sorunun basit bir cevab› var: ‹flletmenizin çal›flmas›na engel olmayacak veya yasal olarak bizi zor durumda b›rakmayacak verileri silebiliriz. Ama as›l sorun bu verilerin hangileri oldu¤unu kimsenin bilmemesi veya “ileride bize laz›m olur” endiflesi ile birçok dosyan›n ya da e-mail’lin silinmemesidir. Bu konudaki tek iyi haber ise, sürekli yer ihtiyac›na neden olarak karfl›m›za ç›kan verinin büyük bir k›sm›n›, aktif olarak kullan›lmayan dosyalar›n oluflturmas›d›r. 18 BEYAZfiAPKA Dosyalar›n aktif olarak kullan›lan server ve Storage’lar üzerindeki disk alanlar› yerine daha düflük maliyetli Ne zaman bir dosyay› ya da herhangi bir veriyi sistemden kald›rmak isteseniz, ortaya ç›kan sorun, bu verinin ilerisi için önemli olup olmad›¤›n› bilmemizin çok zor olmas›d›r. Verinin kategorisine karar verilememesi ve hepsinin ayn› yerde saklanmas› nedeniyle disk alanlar›m›z h›zla dolup tafl›yor. Disk alanlar›n›n dolmas›, çal›flma performans›n›n sürekli olarak düflmesine ve bu alanlara ilave disk alanlar›n›n eklenmesi nedeniyle de bizi maliyetli çözümlere zorlamaktad›r. Bu ve di¤er sebepler nedeniyle elimizdeki aktif olma- Sinan YILMAZ sinan.yilmaz@nebulabilisim.com.tr yan ama iflletmemiz için gerekli olan dosyalar›n ve emaillerin esas ifllevi ifllerimizi yapmam›z› sa¤lamak olan ve performanslar›na ihtiyaç duydu¤umuz sunucular ve disk alanlar› üzerinden, belirlenecek bir hiyerarfli içinde, düflük maliyetli disk alanlar›na arflivlenmesi; buradan da gerekli görülen depolama ve saklama cihazlar›na yedeklenmesi ihtiyac› karfl›m›za zorunlu olarak ç›kmaktad›r. Elimizdeki dosyalar›, e-mailleri yani tüm bu verileri e¤er silemiyorsak mevcut çal›flma ortam›n› yavafllamaktan koruman›n en iyi yolu bu verileri arflivlemektir. Elimizdeki dosyalar›, e-mailleri yani tüm bu verileri e¤er silemiyorsak mevcut çal›flma ortam›n› yavafllamaktan koruman›n en iyi yolu bu verileri arflivlemektir. Bu dosyalar arflivlenme amac›yla daha düflük maliyetli disk alanlar›na kayd›r›l›rken, kullan›c›lar›n çal›flmas›nda ve al›flkanl›klar›nda herhangi bir de¤ifliklik olmamaktad›r. Kullan›c›lar dosyalar›na ayn› yerde b›rak›lan bir k›sayol ile ulaflabilmektedirler. Bu flekilde görüp ulaflabildikleri dosyalar›nda önceden oldu¤u gibi istedikleri flekilde çal›flabilmekte ve gerekli güncellemeleri yapabilmektedirler. Böylece kullan›c›lar›n al›flkanl›klar› aç›s›ndan da herhangi bir de¤iflim gerekmemektedir. Çözüm sistem yöneticilerine dosya sistemini elle ay›klamak gibi uzun ve zahmetli bir ifllemden kurtard›¤› gibi belirlenen politikalar sayesinde yeni oluflturulan veya oluflturulan politikalara uyan dosyalar otomatik olarak düflük maliyetli disk alan›na kaydedilir. Sistem yöneticisine sadece oluflturulan politikalar›n do¤rulu¤unu ve çal›flma ortam›na uygunlu¤unu denetleme d›fl›nda, yap›lmas› gereken bir ifllem b›rakmamaktad›r. Böylece kaynaklar›n yönetimi için gerekli beceri sahibi kifli say›s› azalt›labilir. Kiflilerden kaynaklanan hatalar›n önüne geçilir. Birden fazla platform kullanan ortamlarda birbirleri ile tutarl› uygulamalar ortaya konur ve bir kiflinin yönetebilece¤i depolama cihaz say›s›n› art›rarak yönetim maliyetinde de tasarruf sa¤lanabilir. Tüm bu avantajlar›n sayesinde yedekleme ve geri yükleme sürelerinin en aza indirilmesi, yedekleme aral›klar›n› art›rman›z› sa¤layabilir. Bu sayede veri bütünlü¤ünüzü en üst düzeye ç›karm›fl olarak iflletmenizde bilgi kay›plar› veya geri yükleme sürelerindeki gecikmelerin önüne geçilmesi sayesinde ifl gücü kay›plar›n› en az düzeyde tutulmas› sa¤lanm›fl olur. Bu da iflletmenizin hedeflerine vakit ve para kaybetmeden ulaflmas›nda sizlere yard›mc› olacakt›r. Bilgi arflivleme ve yedekleme konusunda ifllemenizde bir hiyerarfli oluflturmak gerekmektedir. Böylece aktif olarak kullan›lmayan dosyalar› çeflitli aktif kaynaklardan (aktif olarak kullan›lan server, storage vs.) merkezi bir veri deposu, arflivleme ve yedekleme olarak ifllev görecek olan ve çeflitli maliyetlerde olan ürünlerle oluflturulan bu depolama hiyerarflisine dosyalar›n›z› aktar›rs›n›z. Bu yap›, maliyeti düflük olan SATA disklerden oluflan disk alanlar›, optik veya manyetik ortamlardan biri veya birkaç›n›n birlikte kullan›lmas› ile oluflturulabilir. Bunlar› seçerken bilgiye verdi¤iniz de¤ere göre bu seçeneklerden biri veya birkaç› ile hiyerarflinizini istedi¤iniz flekilde optimize edebilirsiniz. Sürekli olarak artan verileriniz nedeniyle server ve storage’lar›n›z bo¤uluyorsa, aktif olarak kullanmakta oldu¤unuz veriler için sürekli disk alan›na ihtiyaç duyuyorsan›z, iflletmeniz için gerekli ama silemedi¤iniz veri (dökümanlar, e-mail, CRM-ERP bilgileri vs.) miktar› artmakta ise; gerekli yaz›l›m ve donan›mlar› kullanarak oluflturacag›n›z hiyerarflik arflivleme ve yedekleme yap›s› sayesinde etkin olarak kullanmad›¤›n›z verileri aktif olarak kulland›¤›n›z alandan tafl›yarak, serverlar›n›z› rahatlat›p çal›flma performans›n›z› art›rabilirsiniz. Bunun yan›nda yapaca¤›n›z bu yat›r›m sayesinde, aktif olarak kulland›¤›n›z serverlar üzerinde sadece aktif olarak kulland›¤›n›z verilerin tutulmas› sayesinde bunlar›n yedeklenmesi ve olumsuz bir durumda geri yükleme ve kurtarma zamanlar›n› en aza indirgemifl olursunuz. Bu da size performans ve iflgücü kayb›ndan ciddi anlamda avantaj sa¤layacakt›r. Bu konuda piyasada de¤iflik markalar›n çözümleri mevcuttur. Yaz›l›m konusunda baflta IBM olmak üzere Symantec, Computer Associates, EMC gibi birçok üreticinin çözümleri mevcuttur. Yine donan›m konusunda IBM, EMC, NetApp, Overland vb. üreticilerin çözümlerinden yararlan›labilir. Burada önemli olan konu, iflletmenizin gereksinimlerine karar vermek ve bu konuda sizleri dogru flekilde yönlendirebilecek bir çözüm orta¤› ve üretici ile ifl birli¤i yapmakt›r. BEYAZfiAPKA 19 K›sa K›sa K›sa K›sa K›sa K›sa K›sa K›sa l Marketler zinciri Gima Hack edildi. Binlerce kredi kart› bilgisinin çal›nd›¤› olay sonras› bankalarla iflbirli¤i yaparak müflterilerini korumaya çal›flan Gima, Carrefoursa marketlerinin de kulland›¤› güvenilir kredi kart› yönetim sistemine geçti¤ini duyurdu. l Microsoft kullan›c›lar›n güvenlik seviyesini art›rmak için Microsoft Private Folder 1.0 yaz›l›m›n› duyurdu. Yaz›l›m istenilen bilgilerin kolayca flifrelenmesini sa¤l›yor ve Windows XP Service Pack 2 ile çal›flabiliyor. l Beyaz fiapka yazarlar›ndan Coflkun Kamilo¤lu, McAfee Türkiye ofisinde sistem mühendisi olarak göreve bafllad›. l Secure Computing e-mail güvenli¤inin güçlü oyuncular›ndan ChipherTrust'› 274 milyon dolara sat›n almay› planlad›¤›n› aç›klad›. l EMC flirketi RSA Security flirketini 2,1 milyar dolar ödeyerek sat›n ald›. RSA yönetimi aylar önce flirketi sat›fla ç›kard›klar›n› duyurmufl ve yapt›klar› çetin pazarl›klar yüzünden elefltirilere maruz kalm›flt›. l U.S. Department of State Lenovo marka bilgisayarlar› kullanmayaca¤›n› aç›klad›. IBM'in masaüstü ve dizüstü bilgisayar grubunu sat›n alan Lenovo'nun kullan›m›n›n yasaklanmas›n›n sebebi Lenovo Group Ltd'nin bir Çin flirketi olmas›. l Symantec güvenlik donan›m› iflinden çekiliyor. fiirket yöneticileri SGS (Symantec Gateway Security) ve SNS (Symantec Network Security) ürün gruplar›na ileriye yönelik yat›r›mlara devam etmeyeceklerini, daha kazançl› gördükleri güvenlik yönetim ve hizmetlerine odaklanacaklar›n› aç›klad›. l Secure Computing yeni bir atak tipi tan›mlad›: Vishing. Dünyada h›zla yay›lan VOiP altyap›s›n›n doland›r›c›lar taraf›ndan kullan›ld›¤›n› belirten Secure Computing, telefonla kredi kart› gibi bilgileri isteyen robot operatörlere dikkat edilmesi konusunda uyar›da bulundu. l Microsoft güvenlik ürün portföyüne ForeFront ad›n› verdi. ISA2006, Antigen ve Microsoft Client Protection gibi ürünleri bundan böyle ForeFont flemsiyesi alt›nda görece¤iz. l Proxy Networks, Juniper'in Proxy Remote Control yaz›l›m grubunu sat›n ald›. Proxy Remote Control yaz›l›m grubu uzaktan yönetim ve ekran yakalama yapabiliyor. Juniper yeni ifl oda¤› d›fl›nda oldu¤u için ürün grubunu satt›¤›n› aç›klarken sat›fl anlaflmas›n›n finansal de¤eri gizli tutuldu. ANA SPONSORLARIMIZ Beyaz fiapka... bir e-gazete de¤ildir. Sadece bas›l› olarak yay›nlan›r ve seçkin okuyucular›na gönderilir, nebula www.nebulabilisim.com.tr sayfalar› okuyucular›na aç›kt›r, www.microsoft.com/turkiye KATILIMCI SPONSORLARIMIZ marka ba¤›ms›zd›r, bilgiye yöneliktir, ücretsizdir, bilgi güvenli¤ine önem veren sponsorlar›n›n katk›s›yla okuyucular›na ulafl›r, üç ayda bir yay›nlan›r. Nebula Biliflim Sistemleri Sanayi ve Ticaret Ltd. fiti. taraf›ndan da¤›t›lan ücretsiz bir dergidir. www.nebulabilisim.com.tr Beyaz fiapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teflekkür ederiz. Yay›nlanan yaz›lar›n tüm sorumlulu¤u yazarlar›na aittir. Lütfen her konuda fikrinizi yaz›n. www.beyazsapka.org info@beyazsapka.org beyaz sapka ‹mtiyaz Sahibi: Sinan Y›lmaz Sorumlu Müdür: Erkan fien Yönetim Yeri: fiehit Ahmet Sokak Mecidiyeköy ‹fl Merkezi No:4 K:12 D:121 Mecidiyeköy - ‹stanbul Yap›m: Umar ‹letiflim Hizmetleri Harman Sokak No: 31/1 34153 Florya - ‹stanbul Tel: 0212 573 15 65 Bask›: Ohan Matbaac›l›k Had›mköy Yolu San1 Bul. 4 Böl. 9. Cad No:143 Çakmakl› Büyükçekmece - ‹stanbul Yay›n Türü: Yayg›n Süreli