- Katılım
- 14 Nis 2014
- Mesajlar
- 72
- Tepkime puanı
- 1
- Puanları
- 6
xDSL TEKNOLOJİLERINDE INTERNET VERİ GÜVENLİĞİ
- FIREWALL (GÜVENLİK DUVARI) TEKNOLOJİSİ
- TROJANLAR ve KORUNMA
- BİLGİSAYAR VİRÜSLERİ ve KORUNMA
- AD ve SPY PROGRAMLAR
Dünyada ve ülkemizde internet servisleri ve kullanımı gelişmektedir. Bu gelişmeyle birlikte internet güvenliği de önem kazanmakta ayrı bir sektör olarak gelişimini sürdürmektedir. Ancak ülkemizde internet güvenliğine yeterince önem verilmemesi nedeniyle birçok problem beraberinde ortaya çıkmaktadır. WEB BROWSER (Internet Explorer, Netscape, Opera, Mozilla, Firefox, vs.) sayfa açamama problemlerinin nedeni güvenliğe yeterince bilgisayarlarda önem verilmemesinden kaynaklanmaktadır. Ayrıca internet kullanıcılanrının kullandıkları işletim sistemlerinin (Microsoft Windows Serisi, MacOS, Linux, BSD, BeOS ve Unix gibi) güncellemelerini yapmamaları güvenlik sıkıntılarını artırmaktadır. Bu nedenlerle Türk Telekomünikasyon A.Ş. Istanbul Yakası ADSL grubu olarak bu açığı kapatmak amacıyla internet güvenliği konusunda aşağıdaki bilgileri derledik.
1. GÜVENLİK DUVARI (FIREWALL) TEKNOLOJİLERİ
Bütününe güvenlik duvarı dediğimiz servisler aslında bir kaç alt kavramdan oluşmaktadır: Tabya (Bastion Host), Ağ Adres Çevrimi (NAT), Maskeleme, Paket Filtreleme Bütün güvenlik duvarları (ticari olanlar ve olmayanlar), bu uygulamaların hepsini veya bir kısmını uygularlar.
İdealde, ağınızdaki güvenlik, ağ seviyesinde ve ağdaki her bir makinada uygulanır. Pratikte ise, bu ya yapılamamakta, ya da ihtiyaç duyulan kimi protokollerin güvenlikten yoksun olduğu bilinse dahi kullanılmaktadır. Böyle durumlarda güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinaların olduğu bir ağla, dış dünya arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Dolayısıyla içerideki ağa girmek isteyen her kötü niyetli dış saldırı, önce özel olarak korumalı tasarlanmış güvenlik duvarı makinasını bertaraf etmek zorundadır. Bu makinaya "kale", "nöbetçi kale" anlamına gelen tabya (bastion host) da denir. Tabyamız, fiziksel olarak iki farklı ağa bağlıdır: iç ağ (Intranet) ve dış ağ (Internet). Tabya iki özelliğe sahiptir:
- Yüksek güvenliğe sahip olmalıdır -- yani bu makinaya izinsiz erişim son derece zor hale getirilmelidir.
- İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.
- Yüksek güvenliğe sahip olmalıdır -- yani bu makinaya izinsiz erişim son derece zor hale getirilmelidir.
- İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.
Günümüzde iç ağların hemen hepsi tahsisli olmayan IP numaraları (10.0.0.0, 192.168.0.0 vs.) kullanmaktadır. Bu IP numaraları Internet üzerindeki yönlendiriciler (router) tarafından bilinmez. Dolayısıyla bu ağlardan Internet'deki herhangi bir makinaya bir erişim olduğu zaman Internet'deki makina bu ağa nasıl geri döneceğini bilmez ve pratikte iletişim yapılamaz. Güvenlik duvarı ise, dinamik veya statik olarak Internet'de bilinen ve kendisine yönlendirme yapılabilen bir IP numarasına sahiptir. İç ağdaki makinalara erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi olarak değiştirir. Kendisine Internet'den gelen paketlerin de hedef adresini iç ağdaki ilgili makinanın adresi olarak değiştirir ve bu yolla iç ağdaki makinaların Internet üzerindeki makinalarla haberleşmesini sağlar. Bu işleme IP IP Maskelemesi (Masquerade) veya Ağ Adres Çevrimi (NAT - Network Address Translation) denir. NAT yapıldığı zaman, oluşan trafiğin Internet'den görüldüğü hali, Internet'de bulunan tek bir makinanın (tabyamız) bazı Internet alışverişleri yaptığıdır. Internet'e, bu makinanın arkasındaki ağın büyüklüğü, bu ağdaki makinaların cinsi, sayısı, ağın yapısı vs. hakkında herhangi bir bilgi gitmez. Dolayısıyla NAT, yalnızca tahsissiz ağlardan Internet'e erişimi sağlamakla kalmaz, ağınızdaki makinalar hakkında bilgi edinilmesini (ve dolayısıyla size karşı yapılabilecek saldırıları) zorlaştırır. PAKET FİLTRELEME
Yukarıda bahsedilen önlemler (güvenlik duvarının tek fiziksel bağlantı olması, NAT uygulanması) ağınıza belli bir miktar güvenlik sağlar, fakat esas güvenlik, paket filtreleme yöntemlerinden gelir. Bu yöntemler, güvenlik duvarından geçen her IP paketine bakılması ve ancak belli şartlara uyarsa geçişine izin verilmesi şeklinde uygulanır. Örneğin:
- İç ağınızdan kimsenin Internet'de ICQ kullanmasını istemiyorsunuz.
- Dışarıdan içeriye hiç kimsenin telnet yapabilmesini istemiyorsunuz.
Eskiden filtreleme yöntemleri ağırlıklı olarak statikti -- yani genel olarak ağınıza ICQ paketlerinin girmesine izin verip vermeme kararı söz konusu idi. 2.4 Çekirdeği ve bizim aşağıda örneğini verdiğimiz iptables uygulaması ile birlikte dinamik filtreleme Linux üzerinde kullanılabilir hale geldi. Aradaki fark, paketin sırf protokolüne bakarak karar vermek yerine, güvenlik duvarının bir bağlantıyı hangi tarafın başlattığını takip etmesi ve çift yönlü paket geçişlerine buna göre karar vermesidir. Yani bir telnet bağlantısında her iki taraftan da paketler gelir ve gider. Fakat dinamik filtreleme ile, bir telnet bağlantısı iç ağınızdan başlatılmışsa izin verir, başlangıç istemi dış ağdan gelmişse reddedebilirsiniz. Dinamik filtreleme özelliği olmayan güvenlik duvarlarını kullanmanızı önermiyoruz. 2.4 çekirdeği ve iptables uygulaması olan her Linux üzerinde dinamik filtreleme yapabilirsiniz. iptables kullanımı hakkında daha ayrıntılı bilgiyi Iptables'ın Basit Kullanımı belgesinde bulabilirsiniz. SİLAHSIZLANDIRILMIŞ BÖLGE (DMZ – DeMilitarized Zone)
Ağınızda Internet'den erişimi olması gereken web, posta gibi sunucular bulunabilir. Bu sunuculara erişimi iki yoldan vermeniz mümkündür: · Silahsızlandırılmış bölge uygulaması (DMZ - Demilitarized Zone) · İç ağınızda bu servislere doğrudan filtreleme yaparak.
DMZ, güvenlik duvarı tarafından daha az korunan, daha fazla erişime izin verilen bir bölgedir. Güvenlik duvarına üçüncü bir ağ çıkışı eklenmesi ve Internet'e servis verecek olan makinaların buraya konulması ile oluşturulur. Örneğin DMZ'deki makinalara NAT uygulanmayabilir, tahsisli IP numaralarına sahip olabilirler. Güvenlik duvarı, telnet, ssh gibi kimi protokollerin buraya erişimini filtreleyerek DMZ bölgesindeki makinalara güvenlik sağlar. Dikkat edilecek nokta, DMZ'de bulunan makinaların daha fazla erişime (ve dolayısıyla saldırıya) açık olmasıdır. Buradaki makinalar dikkatli kurulmalı, güvenliğe aykırı protokoller vs. burada yer almamalıdır.
- SYGATE PERSONAL FIREWALL
- AGNITUM OUTPOST FIREWALL
- NORTON PERSONAL FIREWALL
- MCAFFEE PERSONAL FIREWALL
- DOWNLOAD.COM = FIREWALL
2. TROJANLAR ve KORUNMA YÖNTEMLERİ
Bilgisayarmızda Kontrolumuz Dışında Çalışmalar Oluyorsa:
Internetteyken siz herhangi bir işlem yapmamanıza rağmen bilgisayarınız bir şeyler yüklemeye devam ediyor, cd kapağınız açılıp kapanıyor, mouseunuzun isteğinizin dışında hareket ediyor, ekranınıza resim veya yazılar geliyorsa.. yani bilgisayarınızda sizin kontrolünüz dışında herhangi bir olay gerçekleşiyorsa bilgisayranızda trojan vardır diyebiliriz ama yinede bu kesindir diye bir yargı verilemez. Anti Trojan Programı kullanmak:
Bir anti trojan programıyla bilgisayarınızı scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak genelde yeni çıkan trojanlar genelde bu tip programlarla bulunamıyor bu yüzden sürekli olarak programı resmi web sayfasından update etmekte yarar var. Bilgisayarımızda başlat (start) tuşundan programlar (programs) oradanda başlangıç (startup) tuşuna bastığımız zaman bilgisayarımızın açılışıyla birlikte çalısan programları görürüz eğer burda bizim kurmadığımız herhangi bir program varsa bu program bir trojan olabilir. Diğer ve en kesin yöntemlerden birisi ise dos moduna geçip komut satırında ntstat -a yazmaktır bu komut sizin bilgisayarınız internette kimlerle hangi porta bağlı olduğunu gösterir eğer bu program bilgisayarınızda çalışmıyorsa herhangi bir problem yok eğer örneğin 0.0.0.0:12345 gibi bir sonuç veriyorsa bilgisayarınızda netbus isimli bir trojan vardır. Bunu nerden anladın diyorsanız trojanlar bilgisayarımıza bağlanmak için bilgisayarımızda ki portları kullanırlar trojanlar arasından netbus ise bilgisayraımıza bağlanmak için 12345 portunu kullanır. Bunun gibi daha birçok port üzerinden çalışan trojanlarla karşılaşmak mümkündür. BİLGİSAYARINIZA BULAŞMIŞ TROJANI TEMİZLEMEK Bilgisayarımıza bulaşmış trojanı iki farklı yöntemle temizleyebilriz : 1. TrojanCleaner Programı kullanarak bir çok trojanu bilgisayarımızdan temizleyebiliriz. Programın kullanımı çok basit biraz karıştırmayla kolayca kullanabilirisiniz. 2. Yöntem ise trojanları elle silmek diye tabir edebilicegimiz bir yöntem. Bu yöntemde trojanın eğer biz bilgisayraımızdaki ismini ve regeditteki yerini biliyorsak kolayca ortadan kaldırabiliriz. Şimdi bunu nasıl yapacağımızı ve yaparken nelere dikkat edeceğimizi adım adım görelim: Trojan temizliğine başlamadan önce, PC'nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin. Bunun için Windows Gezgini'nde Görünüm Klasör seçenekleri (View Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Filles) kutucuğunun işaretli olduğuna emin olun. Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır. Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır. Eğer söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır. Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir. Burada verdiklerimiz, taşıdıkları orjinal özelliklerdir. Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz. Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun. Özellikle Registry, Windows için hayati önem taşır. Yanlış bir şey silmeniz sisteminizde aksaklıklara yol açabilir.
3. BİLGİSAYAR VİRÜSLERİ ve KORUNMA
Bilgisayar virüslerini, genel olarak 2 grupta toplamak mümkün: - Dosyalara bulaşan virüsler
Bu gruba girenler, genellikle, kullanıcının çalıştırdığı programlara bulaşır. Programların virüslenmesi iki yolla olur: Ya virüs kodu bilgisayarın hafızasına yerleşmiştir ve her program çalıştırılışında o programa bulaşır; ya da hafızaya yerleşmeden sadece "virüslü program her çalıştırılışında" etkisini gösterebilir. Ancak, virüslerin çoğu kendini bilgisayarın hafızasına yükler. - Bilgisayarın sistem alanlarına bulaşan virüsler
Bu gruba giren virüsler ise, bilgisayarın ilk açıldığında kontrol ettiği özel sistem alanlarına (boot sector) ve özel sistem dosyalarına (command.com gibi) yerleşirler. Bazi virüsler ise her iki şekilde de zarar verebilir. Bazı virüsler, virüs arama programları tarafindan saptanmamak için bazı "gizlenme" teknikleri kullanırlar (Stealth Virüsleri). Bazi tür virüsler ise, çalıştırıldığında kendine benzer başka virüsler üretir (Polymorphic virüsler). VİRÜSLER SADECE WİNDOWS İŞLETİM SİSTEMLERE Mİ BULAŞIR ? Hayır, sadece PC'lere (Windows Sistemler) bulaşmaz; ancak en çok dos ve windows işletim sistemi ile çalışan PC'lere bulaştığını söyleyebiliriz. Macintosh virüsleri de bir hayli yaygındır. Unix işletim sistemi ile çalışan bilgisayarlarda virüs bulaşma vakaları oldukça azdır. MACRO VİRÜSLER NEDİR ? Bazı programların, uygulama ile birlikte kullanılan "kendi yardımcı programlama dilleri" vardır. Söz gelimi, popüler bir kelime islemci olan "MS Word", "Macro" adı verilen yardımcı paketlerle yazı yazma sırasında bazı işleri otomatik ve daha kolay yapmanızı sağlayabilir. Programların bu özelliğini kullanarak yazılan virüslere "macro virüsleri" adı verilir. Bu virüsler, sadece hangi macro dili ile yazılmışlarsa o dosyaları bozabilirler. Bunun en popüler ve tehlikeli örneği "Microsoft Word" ve "Excel" macro virüsleri. Bunlar, ilgili uygulamanın macro dili ile yazılmış bir şekilde, bir word ya da excel kullanarak hazırladığınız dökümana yerleşir ve bu dökümana her girişinizde aktif hale geçer. Macro virüsleri, ilgili programların kullandığı bazı tanımlama dosyalarına da bulaşmaya (normal.dot gibi) çalışır. Böylece o programla olusturulan her döküman virüslenmiş olur. Microsoft Office (word, excel vb) macro virüsleri ile başetmek ve korunmak için, http://www.microsoft.com/msoffice adresinde gerekli bilgiler bulunabilir. BİLGİSAYARIMIN VİRÜS KAPIP KAPMADIĞINI NASIL ANLARIM? BUNU SAPTAYAN PROGRAMLAR VAR MI? Eger bilgisayarınıza virüs bulaşmışsa, bu durumda bilgisayarınızda "olağan dışı" bazı durumlar gözlemleyebilirsiniz. Bazi virüsler, isimleri ile ilgili bir mesajı ekranınıza getirebilir. Bazıları makinanızın çalışmasını yavaşlatabilir, ya da kullanılabilir hafızanızı azaltır. Bu son iki sebep sırf virüs yüzünden olmasa da gene de şüphelenmekte fayda var. Bilgisayarınızın virüs kaıip kapmadığını saptayan "anti-virüs" programları da var. Bu programlar, bilgisayarınızın virüs kapabilecek her tarafını (hafıza, boot sector, çalıştırılabilir programlar, dökümanlar vb) tararlar. Bu programların virüs saptama yöntemleri 2 türlüdür: Kendi veritabanlarındaki virüslerin imzalarını (virüsün çalışmasını sağlayan bilgisayar programı parçası) bilgisayarınızda ararlar. Programlarınızı, virüs olabilecek zararlı kodlara karşı analiz edebilirler.
Günümüzdeki popüler anti-virüs programlarının veri tabanlarında binlerce virüs imzası ve bunların varyantları vardır. Bu veri tabanları, yeni çıkan virüsleri de ekleyerek sık aralıklarla güncellenir. Bütün virüs programları 3 temel işleve sahiptir : - Virüs Arama, bulma (virus scanner)
- Bulunan virüsü temizleme (virus cleaner)
- Bilgisayarınızı virüslerden korumak için bir koruyucu kalkan oluşturma (virus shielder)
Virüs kalkanları, bilgisayarınız her açıldığında kendiliğinden devreye giren, ve her yeni program çalıştırdığınızda, bilgisayarınıza kopyaladığınızda (başka bir bilgisayardan, internet üzerinden, disketten vb) bunları kontrol eden ve tanımlayabildiği virüs bulursa sizi uyaran ve virüs temizleme modülünü harekete geçirebilen araçlardır. Bazı popüler anti virüs programları, üretici şirketler ve web adresleri şunlardır :
McAffee Associates, Inc. IBM Anti Virus Norton Antivirus F-Prot Antivirus Thunderbyte Antivirus | [url]http://www.mcafee.com[/URL] [url]http://www.av.ibm.com[/URL] [url]http://www.symantec.com[/URL] [url]http://www.datafellows.com[/URL] http://www.thunderbyte.com |
İNTERNET'TEN ALDIĞIM E-POSTA'DAN BİLGİSAYARIM VİRÜS KAPABİLİR Mİ? Sadece düz yazı içeren bir e-postayı okumakla sisteminize virüs filan bulaşmaz. Eger aldığınız e-posta ile birlikte bir "attachment (eklenmiş dosya)" varsa (eklenmiş dosya, herhangi bir çalıştırılabilir (executible) dosya olabilir), mailinizi okuyup gelen dosyayı diskinize saklamakla "o dosya virüslü dahi olsa" yine virüs bulaşmaz. Tabii, eklenmiş dosyayı çalıştırırsanız ve o dosya da virüslü ise, sisteminize virüs bulaşabilir. Bu tamamen sizin sorumluluğunuz. Yıllar içinde mail programları oldukça gelişmiştir. bazı özel tekniklerle, mail içine "doğrudan çalıştırılabilir kod" ekleme olanağı vermektedir. Daha çok yeni olan bu kullanım, tüm potansiyel virüs saldırılarına açıktır. Dolayısıyla, size gelen bir maili okumadan önce, "konusuna" ve "kimden gönderildiğine" ayrıca "uzunluğuna" bakıp ona göre bir karar verebilirsiniz. Kullandığınız mail programı, bazı seçeneklerini degiştirirseniz, maili okumak için açtığınız anda, sizin onayınızı almadan, aslında bir program olan ilgili kod çalışmaya başlayabilir. BİRDEN FAZLA ANTİVİRÜS PROGRAMI KULLANABİLİR MİYİM ? Birden fazla AntiVirüs programının kullanılması Virüslerin algoritmalarının bir programdan diğer programa taşınma yöntemine göre hareket etmeleri nedeniyle aynı bilgisayardaa iki virüs programı kullanılması sakıncalıdır.
4. AD ve SPY KORUNMA YÖNTEMLERİ