|
Ateş Duvarı ve Nüfuz Tespit Sistemi Internet'te Güvenlik İçin Yeterli mi? |
|
Özet Giriş Internet hergün yeni bilgisayarlarla ve yeni bağlantılarla büyümektedir. Internet ortamı, kullanılan çok çeşitli teknolojiler ve bu teknolojilerin sürekli yenilenmesi sonucunda dinamik bir hal almaktadır. Bu dinamizm doğal olarak bünyesinde çeşitli zayıflıklar barındırmakta ve bu zayıflıklar saldırı ve zarar verme amacıyla kullanılmaktadır. Internet'te güvenlik çalışmaları anılan saldırı ve zarar verme etkinliklerine karşı Internet'e bağlanan bilgisayar sistemlerini ya da bilgisayar ağlarını korumayı hedeflemektedir. Internet'te etkin güvenlik için tehditlere karşı geniş kapsamlı bir yaklaşım izlenmesi gerekir. Internet ortamında var olan tehditler üç ana başlık altında toplanabilir [1]: Bilgisayar sisteminde bulunan gizli veya hassas bilgilerin Internet'e açılması veya çıkması, Internet'te bulunan yetkisiz kullanıcıların bilgisayar sistemine erişmesi, Internet üzerinden gerçekleştirilen saldırılar sonucunda bilgisayar sistemin işleyemez hale gelmesi. Anılan tehditlere karşı alınacak önlemler savunma derinliği konseptine uygun olarak içiçe geçmiş katmansal bir yapı oluşturmalıdır. Böylece bir katmanı aşan saldırı, bir diğer katman tarafından durdurulabilecektir. Günümüzde ateş duvarı ve nüfuz tespit sistemi ikilisi böyle bir yapı oluşturmaktadır. Ancak bu yapının Internet'te güvenlik için yeterli olup olmadığı güncel bir soru olarak ortada durmaktadır. Bu bildiride anılan soruya bir yanıt verilmektedir. İzleyen bölümde ateş duvarları, üçüncü bölümde ise nüfuz tespit sistemleri tanıtılacaktır. Ateş duvarı ve nüfuz tespit sistemi ikilisinin Internet'te güvenlik için konuşlandırılma şekli dördüncü bölümde anlatılacaktır. Beşinci bölümde ise, ateş duvarı ve nüfuz tespit sistemi ikilisinin yetersiz kaldığı durumlara ilişkin örnekler verilecektir. Son bölümde ise, anılan yetersizliğin giderilmesi için izlenmesi gereken yaklaşım kısaca açıklanacaktır. Ateş Duvarları İki bilgisayar ağı arasına yerleştirilmiş bir ateş duvarı, iki ağ arasında akan trafiği denetler [2]. Bu denetleme bir politikaya bağlı olarak yapılır. Anılan politika izin verilecek bağlantıları ve bunlara ilişkin koşulları ortaya koyar. Spesifik olarak belirtilen bağlantılar dışında kalan trafik bloke edilir ve bir ağdan diğerine geçirilmez. Ateş duvarları hem Internet'ten gelen trafigi hem de Internet'e çıkan trafiği denetleyebilir. Bu sayede Internet üzerinden gerçekleştirilen saldırıları bloke edebilir. Ayni zamanda korumakta olduğu bilgisayar ağında bir bilgisayara nüfuz edilmiş ise ve bu bilgisayar Internet'e bilgiler yolluyor ise ateş duvarı bunu da fark edebilir, dolayısıyla önceden gerçekleşmiş bir saldırıyı tespit edebilir ve zararın asgariye indirilmesine yardımcı olabilir. Ateş duvarları üç seviyeli bir koruma sunabilmektedir [3]:paket-tabanlı, bağlanti-tabanlı, uygulama-tabanlı. Paket-tabanlı korumada, ateş duvarı gelen paketleri IP adres ve port bilgilerine bakarak filtreler. Ateş duvarı bağlantı-tabanlı korumada geçerli bir TCP veya UDP bağlantısı arar ve bulur ise trafiğe izin verir. Uygulama-tabanlı korumada ise uygulama katmanında yer alan programın gerektiği gibi çalışmasını sağlayan paketlere geçiş izni verir. Ancak bu tür koruma çok çeşitli uygulamaların bulunmasından dolayı her uygulama için hayata geçirilemez, geçirilebildiği durumlarda ise sisteme çok yük getirir. Dolayısıyla günümüzde satılan ateş duvarları sadece spesifik uygulamalar için böyle bir koruma sunmaktadır. Nüfuz Tespit Sistemleri Bir nüfuz tespit sistemi (NTS), bilgisayar sistemine yönelik saldırıları veya saldırı hazırlıklarını belirlemeye çalışır [4]. Belirleme çabaları, bilgisayar ağı trafiğini, işletim sistemi etkinliklerini ve uygulama programları ile kullanıcı davranışlarını izlemekten ve değerlendirmekten ibarettir [5]. Nüfuz tespit sistemleri bunu yaparken arka planda çalışır ve olağan dışı durum veya saldırı söz konusu ise otomatik karşı tedbirleri devreye sokar ve sistem yöneticisine haber verir. İzleme; bilgisayar-tabanlı, ağ-tabanlı veya dağıtık olarak gerçekleştirilebilir [6]. Bilgisayar-tabanlı izlemede bilgisayar üzerinde çalışmakta olan işletim sistemi, uygulama programları ve kullanıcı etkinliklerine ilişkin veri toplanır. Ağ-tabanlı izlemede ise bilgisayar ağı üzerinde akan trafik ile bu trafiği oluşturan paketler gözlenir. Dağıtık nüfuz tespit sistemleri ise hem ağ-tabanlı izleme hem de bilgisayar-tabanlı izleme yaparak daha geniş bir çerçevede saldırıları tespit etmeye çalışır. Toplanan veriler; istatistiksel analiz ve kural-tabanlı karşılaştırma yöntemleri ile değerlendirilir ve gerçekleşen saldırı ya da saldırı hazırlıkları belirlenmeye çalışılır [5]. İstatistiksel analiz yönteminde sürekli güncellenen kullanıcı ve program davranış profilleri kullanılır. Profil; sistem üzerindeki kullanıcı ve program davranış biçimlerinin NTS tarafından anlaşılacak şekilde kodlanmış halidir [7]. Zaman içinde gerçekleşen etkinlikler, kullanıcı ve program profilleri ile karşılaştırılır. Profilden bir sapma söz konusu ise çeşitli istatistiksel analiz yöntemleri ile bu ortaya çıkarılır. Ortaya çıkarılan etkinlik anormal davranış olarak kaydedilir ve bu anormal davranışın bir saldırı olup olmadığı kontrol edilmek zorundadır. Zira, anormal olarak tespit edilen bir davranış bilgisayar ortamında yeni bir projeden kaynaklanıyor olabilir. Kural-tabanlı karşılaştırma yönteminde ise bilinen nüfuz yöntemlerinin tanımları olan kurallar ya da imzalar kullanılır. Anılan imzalar, yeni saldırı tekniklerini içerecek şekilde sürekli güncellenmelidir. Bilgisayar sisteminde veya bilgisayar ağında gerçekleşen etkinlikler, belirlenmiş nüfuz kuralları ile karşılaştırılır ve etkinlik ile imzanın benzerliği kontrol edilir. Bir kurala uygunluk nüfuz olarak kabul edilir. Değerlendirmede kullanılan istatistiksel analiz ve kural-tabanlı karşılaştırma yöntemlerinde hata yapılması mümkündür. Nüfuz tespit sistemlerinde oluşan hatalar üç kategoride toplanmaktadır [8]: Yanlış-pozitif hatası, NTS geçerli bir davranışı bir nüfuz olarak algıladığında gerçekleşir. Yanlış-negatif hatası, NTS bir saldırıyı geçerli bir davranış olarak kabul ettiğinde ortaya çıkar. Sapma hatası, bir saldırgan nüfuz tespit sistemini yanlış-negatifler oluşturmaya zorladığında oluşur. Ateş Duvarı ve Nüfuz Tespit Sistemi İkilisi İşleyişleri yukarıda açıklanan ateş duvarı
ve nüfuz tespit sistemi, Internet'e bağlı bir bilgisayar ağını korumak
üzere katmansal bir yapı içinde Internet ile korunmak istenen bilgisayar
ağı arasında konuşlandırılır. Anılan yapı Şekil-1'de görülmektedir.
Ateş duvarı Internet üzerinden gelen trafiği denetler ve politikası
doğrultusunda paketlerin geçişine izin verir. Ateş duvarının gerisinde
bilgisayar ağı içinde bulunan nüfuz tespit sistemi ise ateş duvarını
geçen saldırıları belirlemeye çalışır. Bunu yaparken ateş duvarından,
bilgisayar ağından ve bilgisayar sistemlerinden gelen verileri kullanır.  Şekil-1: Ateş duvarı ve nüfuz tespit sistemi ikilisi konuşlandırılması. Konuşlandırma işlemi sırasında aşağıda ifade edilen konulara dikkat edilmesi gerekmektedir. Ateş duvarı ve nüfuz tespit sistemi iki ayri bilgisayara kurulmalıdır. Her bilgisayar üzerinde sadece ilgili yazılım ve ona ait veriler tutulmalıdır. Yazılımların yüklendiği bilgisayarda sistem yöneticisi dışında kullanıcı makinasi bulunmamalıdır. Sistem yöneticisi dışında kimse anılan bilgisayarlara fiziksel olarak da erişememelidir. Ateş Duvarı ve Nüfuz Tespit Sistemi İkilisi Yeterli mi? Internet'te güvenliği sağlamak için ateş duvarı ve nüfuz tespit sistemi ikilisinin bir önceki bölümde gösterilen şekilde konuşlandırıldığı varsayılmaktadır. Böyle bir durumda savunmanın ilk hattını ateş duvarı oluşturacaktır. Saldırgan ilk olarak ateş duvarının varlığını tespit eder ve ardından da ateş duvarının izin verdiği IP adres ve portları belirler. Bu kanallar üzerinden veri-yönetimli bir saldırı gerçekleştirir. Zira, ateş duvarı her paketin veri içeriğini inceleyememekte veya içeriğe bakarak karar verememektedir. Buna örnek olarak; makro virüs içeren döküman dosyaları ya da veri gibi gözüken ancak bilgisayar ağındaki bir servisin belli bir zayıflığını hedef alıp, onu aktive eden kod parçaları [9] gösterilebilir. Her iki örnekte de savunmanın birinci hattı geçilmiş durumdadır. Saldırılar kullanıcı veya servis tarafından işletilir ise, bu durumda nüfuz tespit sisteminin devreye girmesi beklenir. Ancak anılan saldırı nüfuz tespit sisteminin kural kümesinde yok ise ve istatistiksel yöntemler de bir anormallik yakalayamaz ise, o takdirde saldırı kısa zaman içinde fark edilemeyebilir. Bu noktadan sonra olacaklar, saldırının amacına ve bilgisayar ağı sisteminde bulunan diğer güvenlik önlemlerine bağlıdır. Sonuç Satılan en iyi ateş duvarı ve nüfuz tespit sisteminin alınıp kurulduğu, bu yazılımların gerektiği şekilde konfigüre edildiği ve konuşlandırmada dikkat edilmesi gereken konulara aynen uyulduğu durumularda bile ateş duvarı ve nüfuz tespit sistemi ikilisinin Internet'te güvenlik için yeterli olmayabileceği ortaya konmuştur. Dolayısıyla iki katmanlı bir savunma derinliği konseptinin Internet'te güvenlik hedeflerini karşılayamama olasılığı vardır. Bu yüzden, güvenlik katmanların sayısı anılan konsepte uygun şekilde artırılmalıdır. Internet'te güvenlik için ateş duvarı
ve nüfuz tespit sistemi ikilisine ek olarak virüs tarayıcıları, zayıflık
denetleyicileri, doğruluk/bütünlük denetleyicileri, şifreleme, güçlü
kimlik doğrulama önlemleri bilgisayar ağına eklenmelidir. Bütün bu önlemlerin
bile yetersiz kalabileceği durumlar olabilir. Bu yüzden bilgisayar ağı
sürekli izlenmeli, önlemler gözden geçirilmeli ve teknolojideki gelişmeler
takip edilmelidir.
Tuğkan Tuğlular
|