IP ile ilgili güvenlik konuları makalesi
IP ile ilgili güvenlik konuları
Genel ve özel ağlar güvenlik olmadan, yetkisiz izleme ve erişime açıktır. İçeriden saldırılar, intranet güvenliğinin olmamasından veya en az düzeyde olmasından kaynaklanabilir. Özel ağa dışarıdan gelen riskler Internet ve ekstranetlere bağlantılardan kaynaklanır. Parolaya dayalı kullanıcı erişimi denetimleri, ağ üzerinden iletilen verileri tek başına koruyamaz.
Genel ağ saldırı türleri
Güvenlik ölçüleri ve denetimleri sağlanmazsa, verileriniz saldırılara açıktır. Bilgilerin yalnızca izlendiği bazı saldırılar pasif saldırılardır. Diğer saldırılar ise, verileri veya ağın kendisini bozmak veya yok etmek amacıyla bilgilerde değişiklik yapan aktif saldırılardır. Uygulanan bir güvenlik planınız yoksa, ağlarınız ve verileriniz aşağıdaki saldırı türlerinden herhangi birine açıktır.
Gizlice Dinleme
Genel olarak, ağ iletişimlerinin önemli bir bölümü düz metin (şifrelenmemiş) biçimde gerçekleştirilir ve bu biçim bir ağdaki veri yollarına erişim kazanan bir saldırganın trafiği izleyip yorumlamasına (okumasına) olanak verir. Bir saldırganın iletişimleri gizlice dinlemesine algılama veya gözetleme adı verilir. Gizlice dinleyenin ağı izleme yetenekleri, genellikle kuruluştaki yöneticilerin karşılaştıkları en büyük güvenlik sorunudur. Veriler, şifrelemeyi temel alan güçlü şifreleme hizmetleri olmaksızın ağda iletilirken, başkaları tarafından okunabilir.
Veri değişikliği
Saldırganın verileri okumasından sonraki mantıklı adım, genellikle veriler üzerinde değişiklik yapmasıdır. Saldırgan paketteki verileri, alıcı veya vericinin haberi olmadan değiştirebilir. Tüm iletişimler için gizliliğe gerek duymasanız bile, iletilerinizin hiçbirinin iletim sırasında değiştirilmesini istemezsiniz. Örneğin, satın alma istekleri alış verişi yapıyorsanız, öğe, tutar veya fatura bilgilerinin değiştirilmesini istemezsiniz.
Kimlik aldatmacası (IP adresi aldatmacası)
Çoğu ağ ve işletim sistemi, bir bilgisayarın ağda geçerli olduğunu tanımlamak için IP adresi kullanır. Bazı durumlarda, IP adresinin sahte olarak kullanılması olanağı vardır. Buna kimlik aldatmacası adı verilir. Saldırgan özel programlar kullanarak, bir kuruluş intranetinde yer alan geçerli adreslerden kaynaklanmış gibi görünen IP paketleri oluşturabilir.
Geçerli bir IP adresiyle ağa erişim kazandıktan sonra, saldırgan verileri değiştirebilir, yönlendirebilir veya silebilir. Saldırgan ayrıca izleyen bölümlerde açıklandığı gibi başka saldırı türleri de geliştirebilir.
Parolaya dayalı saldırılar
Çoğu işletim sistemlerinin ve ağ güvenlik planlarının ortak yönü, parolaya dayalı erişim denetimi kullanmalarıdır. Bir bilgisayara ve ağ kaynaklarına erişim, kullanıcı adı ve parola ile belirlenir.
İşletim sistemi bileşenlerinin önceki sürümleri, doğrulama için ağdan geçerken kimlik bilgilerini her zaman korumuyordu. Bu durum, gizlice dinleyen bir saldırganın geçerli bir kullanıcı adı ve parolayı belirleyip, sonra da ağa geçerli bir kullanıcı gibi erişim kazanmasına olanak sağlayabilir.
Saldırgan geçerli bir kullanıcı hesabı bulup eriştiğinde, gerçek kullanıcıyla aynı haklara sahip olur. Örneğin, kullanıcının yönetici hakları varsa, saldırgan daha sonra erişmek üzere ek hesaplar oluşturabilir.
Geçerli bir hesapla ağa erişim kazandıktan sonra, saldırgan aşağıdakilerden herhangi birini yapabilir:
|
|
Geçerli kullanıcı ve bilgisayar adlarının listelerini ve ağ bilgilerini elde etme. |
|
|
Erişim denetimleri ve yönlendirme tabloları da içinde olmak üzere, sunucu ve ağ yapılandırmalarında değişiklik yapma. |
|
|
Verileri değiştirme, yeniden yönlendirme veya silme. |
Hizmeti geri çevirme saldırısı
Parolaya dayalı saldırıların tersine, hizmeti geri çevirme saldırısı bir bilgisayar veya ağın geçerli kullanıcılar tarafından normal biçimde kullanılmasını önler.
Ağa erişim kazandıktan sonra, saldırgan aşağıdakilerden herhangi birini yapabilir:
|
|
Bilgi sistem ilgililerini oyalayarak, yetkisiz girişin hemen saptanmasını önleme. Bu durum, saldırganın başka saldırılarda bulunmasına da olanak verir. |
|
|
Uygulama veya ağ hizmetlerine geçersiz veriler göndererek, uygulama veya hizmetlerin kapanmasını veya olağandışı biçimde çalışmasını sağlama. |
|
|
Bir bilgisayar veya tüm ağ kapatılıncaya kadar aşırı trafik gönderme. |
|
|
Trafiği önleyerek, yetkili kullanıcıların ağ kaynaklarına erişimi kaybetmelerini sağlama. |
Aradaki adam saldırısı
Adından da anlaşılacağı gibi, aradaki adam saldırısı, iletişim halindeki iki kullanıcının arasına giren bir kişinin, kullanıcıların haberi olmadan iletişimi etkin biçimde izlemesi, yakalaması ve denetlemesidir. Örneğin, saldırgan her iki kullanıcı ile şifreleme anahtarları için anlaşabilir. Her iki kullanıcı da şifreli verileri saldırgana gönderir ve o da verilerin şifresini çözebilir. Bilgisayarlar düşük düzeyde ağ katmanında iletişim halindeyken, veri alış verişi yaptıkları bilgisayarı tanıyamayabilir.
Uzlaşılmış anahtar saldırısı
Anahtarlar, güvenli bilgileri şifrelemek, şifresini çözmek veya doğrulamak için gereken gizli kod veya numaralardır. Anahtarları tanımlamak, saldırganlar için güç ve çok kaynak gerektiren bir işlem olmakla birlikte, olanaklıdır. Saldırgan bir anahtarı tanımlarsa, bu anahtara uzlaşılmış anahtar adı verilir.
Saldırgan uzlaşılmış anahtarı, alıcı ve vericinin haberi olmadan güvenli iletişime erişim kazanmak için kullanır. Saldırgan uzlaşılmış anahtarı kullanarak verilerin şifresini çözebilir ve değişiklik yapabilir. Saldırgan uzlaşılmış anahtarı kullanarak başka anahtarları da hesaplayabilir ve böylece başka güvenli iletişimlere de erişim kazanabilir.
Algılayıcı saldırısı
Algılayıcı, ağda veri alış verişlerini ve paketleri okuyabilen, izleyebilen ve yakalayabilen bir uygulama veya aygıttır. Paketler şifrelenmemişse, algılayıcı paket içinde yer alan verilerin tam görünümünü sağlayabilir. Şifrelenmemişse, kapsüllenen (tünelli) paketler bile açılıp okunabilir.
Saldırgan algılayıcı kullanarak şunları yapabilir:
|
|
Ağı çözümleyip bilgilere erişme ve sonunda ağın durmasına veya bozulmasına neden olma. |
|
|
Özel iletişimleri okuma. |
Uygulama katmanı saldırısı
Uygulama katmanı saldırısı, uygulama sunucularını hedef alarak sunucunun işletim sisteminde veya uygulamalarında hataya neden olurlar. Bu durum da, saldırganın normal erişim denetimlerini atlama olanağı kazanmasıyla sonuçlanır. Saldırgan bu durumun avantajından yararlanarak bir uygulama, sistem veya ağın denetimini ele geçirip, aşağıdakilerden herhangi birini yapabilir:
|
|
Verileri veya bir işletim sistemini okuma, ekleme yapma, silme veya değiştirme. |
|
|
Bilgisayarları veya yazılım uygulamalarını kullanarak tüm ağa kopyalanan bir virüsü başlatma. |
|
|
Bir algılayıcı programın ağı çözümleyip bilgilere erişim kazanmasını ve sonuçta bu bilgileri kullanarak ağın durmasına veya bozulmasına neden olmasını sağlama. |
|
|
Veri uygulamalarını ve işletim sistemlerini olağandışı biçimde kapatma. |
|
|
İleride başka saldırılara da olanak sağlamak üzere diğer güvenlik denetimlerini devreden çıkarma. |
Saldırılardan korunma
Saldırılardan korunma
IPSec verileri, herhangi bir saldırganın yorumlamayı çok güç veya olanaksız bulacağı biçimde korur. Sağlanan güvenlik düzeyi, IPSec ilkenizin yapısıyla belirtilen güvenlik düzeylerinin gücüne göre belirlenir.
IPSec, aşağıdaki saldırıları belirgin şekilde azaltan veya önleyen birkaç özellik içerir:
|
|
Algılayıcılar (gizlilik eksikliği) IPSec'teki Kapsüllenen Güvenlik Yükü (ESP) protokolü, IP paketleri yükünü şifreleyerek veri gizliliği sağlar. |
|
|
Veri değişikliği IPSec, her IP paketinin şifreleme sağlama toplamını oluşturmak için, gönderen ve alan bilgisayarlar tarafından paylaşılan, şifrelemeye dayalı anahtarlar kullanır. Paket verilerinde yapılan değişiklikler sağlama toplamını değiştirir ve bu da paketin iletim sırasında değiştirildiğini, alan bilgisayara bildirir. |
|
|
Kimlik aldatmacası, parolaya dayalı, uygulama düzeyi saldırıları IPSec, saldırganların yorumlamasına maruz bırakmadan kimlik değişimi ve doğrulamasına olanak sağlar. İletişim kuran bilgisayarlar arasında güven sağlanması için karşılıklı doğrulama kullanılır ve yalnızca güvenilen sistemler birbiriyle iletişim kurabilir. Kimlikler kurulduktan sonra IPSec, her IP paketinin şifreleme sağlama toplamını oluşturmak için, gönderen ve alan bilgisayarlar tarafından paylaşılan, şifrelemeye dayalı anahtarlar kullanır. Şifreleme sağlama toplamı, her paketi yalnızca, anahtarlar hakkında bilgisi olan bilgisayarların gönderebilmesini sağlar. |
|
|
Aradaki adam saldırıları IPSec karşılıklı kimlik doğrulamayı paylaşılan, şifrelemeye dayalı anahtarlar ile birlikte kullanır. |
|
|
Hizmeti geri çevirme saldırıları IPSec IP adres aralıklarına, IP iletişim kurallarına veya hatta belirli TCP ve UDP bağlantı noktalarına göre iletişime izin verilip verilmeyeceğini, güvenli olup olmadığını veya önlenip önlenmediğini belirlemek için IP paket süzme yöntemlerini esas olarak kullanır. |
İlkeye dayalı güvenlik
İlkeye dayalı güvenlik
İletişimleri tam olarak korumak için, şifrelemeye dayalı daha güçlü güvenlik yöntemleri gerekli olmakla birlikte, bu yöntemler genellikle yönetim giderlerini önemli ölçüde artırır. Giderleri azaltmak için, IPSec ilkeye dayalı yönetim kullanır.
IPSec güvenlik hizmetlerini yapılandırmak için uygulama programı arabirimleri (API) yerine, IPSec ilkeleri kullanılır. İlkeler, varolan ağların çoğunda, birçok akış türü için çeşitli koruma düzeyleri sağlar.
IPSec ilkelerini, bir bilgisayar, uygulama, kuruluş birimi, etki alanı, site veya genel kuruluşun güvenlik gereksinimlerini karşılayacak biçimde yapılandırabilirsiniz. Bilgisayarlara Active Directory® (etki alanı üyeleri için) aracılığıyla veya yerel bilgisayarda (etki alanına ait olmayan bilgisayarlar için) IPSec ilkeleri tanımlamak için, Microsoft® Windows® XP ve Windows Server 2003 ailesinde sağlanan IP Güvenlik İlkesi Yönetim konsolunu kullanabilirsiniz.
Basitleştirilmiş dağıtım
Basitleştirilmiş dağıtım
Az maliyetle güvenli iletişim elde etmek için, Microsoft® Windows® XP ve Windows Server 2003 ailesi, IPSec dağıtımını aşağıdaki özelliklerle basitleştirir:
|
|
Windows 2000 ve Windows Server 2003 ailesindeki güvenlik çerçevesiyle bütünleşme. IPSec, Windows 2000 ve Windows Server 2003 ailesindeki güvenli etki alanını güven modeli olarak kullanır. IPSec protokolleri varsayılan olarak, iletişim kuran bilgisayarları tanımlamak ve bunlara güvenmek için Active Directory varsayılan kimlik doğrulama yöntemini (Kerberos V5 kimlik doğrulaması) kullanır. Bir Windows 2000 veya Windows Server 2003 etki alanının üyesi olan ve güvenilir etki alanlarında bulunan bilgisayarlar, kolayca IPSec güvenli iletişimi kurabilirler. |
|
|
Active Directory üzerinden merkezi IPSec ilkesi yönetimi IPSec ilkeleri Active Directory etki alanları ve kuruluş birimlerinin Grup İlkesi yapılandırmasıyla atanabilir. Bu da, IPSec ilkesinin etki alanı, site veya kuruluş birimi düzeyinde atanmasına olanak sağlayarak, her bilgisayarı ayrı olarak yapılandırmanın yönetimsel karışıklığını ortadan kaldırır. |
|
|
Kullanıcı ve uygulamalar için IPSec saydamlığı IP katmanıyla (katman 3) tümleşme, TCP/IP iletişim kuralları takımında tüm iletişim kuralları için güvenlik sağlar. TCP/IP kullanan uygulamalar verileri güven altında bulunacakları IP protokolü katmanına gönderdikleri için, TCP/IP iletişim kuralları grubundaki her protokolü için güvenliği ayırmanız gerekmez. |
|
|
Esnek güvenlik yapılandırması Her iletişim kuralındaki güvenlik hizmetleri, ağ ve veri trafiği için temel güvenlik gereksinmelerini karşılayacak biçimde özelleştirilebilir. |
|
|
Otomatik anahtar yönetimi Internet Anahtar Değişimi (IKE) hizmetleri, iletişim kuran bilgisayarlar arasında şifreleme anahtarlarını dinamik olarak değiştirir ve yönetir. |
|
|
Otomatik güvenlik anlaşması Internet Anahtar Değişimi (IKE) hizmetleri, iletişim kuran bilgisayarlar arasında dinamik olarak ortak güvenlik ayarları belirleyerek, her iki bilgisayarın da ilkelerinin özdeş olarak yapılandırılması gereğini ortadan kaldırır. |
|
|
Ortak anahtar altyapısı desteği Kimlik doğrulama için ortak anahtar sertifikaları kullanılması desteklenir. Bu destek, bir Windows 2000 veya Windows Server 2003 güvenilir etki alanına ait olmayan, Microsoft dışı işletim sistemleri çalıştıran bilgisayarlar, güvenilmeyen etki alanlarına üye bilgisayarlar için ve bilgisayar erişiminin etki alanı kimlik doğrulamasının izin verdiğinden daha küçük bir grupla sınırlanması gereken durumlar için güvenilir ve güvenli iletişime olanak sağlar. |
|
|
Önceden paylaşılan anahtar desteği Kerberos V5 iletişim kuralını veya ortak anahtar sertifikalarını kullanarak kimlik doğrulaması yapılamazsa, önceden paylaşılan bir kimlik doğrulama anahtarı yapılandırılabilir. |
Önemli
|
|
Diğerlerine göre zayıf bir kimlik doğrulama yöntemi olduğundan, önceden paylaşılmış anahtar kimlik doğrulama yönteminin kullanılması önerilmez. Önceden paylaşılan anahtar kimliği doğrulaması, sertifikalardan veya Kerberos V5 protokolünden daha az güvenilir olan (daha düşük düzeyde bir şifreleme gerçekleştirecek olan) bir ana anahtar oluşturur. Ayrıca, önceden paylaşılmış anahtarlar düz metin olarak depolanır. Önceden paylaştırılmış anahtar kimliği doğrulaması, karşılıklı kullanılabilirlik amacıyla ve IPSec standartlarına bağlı kalmak için sağlanır. Önceden paylaştırılmış anahtarları yalnızca sınama için, sertifikaları veya Kerberos V5 kimlik doğrulamasını da üretim ortamında kullanmanız önerilir. |
Not
|
|
Burada açıklanan Windows 2000 veya Windows Server 2003 güvenlik çerçevesiyle tümleşme, Active Directory üzerinden merkezi IPSec ilke yönetimi ve Kerberos V5 protokolünün kullanılması, Windows XP Home Edition çalıştıran bilgisayarlar için geçerli değildir. Active Directory tabanlı IPSec ilkelerini, Windows XP Home Edition çalıştıran bilgisayarlar Active Directory etki alanlarına katılamadıklarından, böyle bir bilgisayardan yönetemezsiniz. |
RSS - © Copyright 2000 - 2012 Tüm Hakları Saklıdır. Yazılı İzinsiz içerik kullanılamaz. E-Ticaret İnternet Sitesi Tasarım Merkezi E- Ticaret Uzmanı JET Bilgisayar