Bilgi Guvenligi Temel Kavramlar

  • Published on
    20-Jun-2015

  • View
    2.025

  • Download
    0

Transcript

1. Bilgi Gvenlii Temel Kavramlar Eitmen : Fatih zavc 2. Bilgi Nedir lenmi veridir. Bilgi dier nemli i kaynaklar gibi kurum iin deeri olan vedolaysyla uygun bir ekilde korunmas gereken bir kaynaktr. Bir konu ile ilgili belirsizlii azaltan kaynak bilgidir. (Shannon Information Theory)2 3. Gvenlik zerine . Gvenlik risk ynetimidirAnonim Bir sistem, yazlm ihtiyalarnz ve beklentileriniz dorultusundaalyorsa gvenlidir Practical UNIX and Internet Security Gvenlik, bulunurluk, kararllk, eriim denetimi, veri btnl vedorulamadr http://www.sun.com/security/overview.html 3 4. Gvenlik ve nsan Gvenlik, teknoloji kadar insan ve o insanlarn teknolojiyi naslkulland ile ilgilidir. Gvenlik sadece doru teknolojinin kullanlmasndan daha ileride birhedeftir. Doru teknolojinin, doru amala ve doru ekilde kullanlmasdr. 4 5. Teknoloji Tek Bana Yeterli mi ?Eer teknolojinin tek bana gvenlik probleminizi zlebileceinidnyorsanz, gvenlik probleminiz ve gvenlik teknolojileri tamanlalmam demektir. Bruce Schneier ifreleme Uzman 5 6. Gvenlik Ynetim Pratikleri 7. Gvenlik Ynetim Pratikleri Gizlilik, Btnlk, Eriilebilirlik Risk Deerlendirmesi ve Ynetimi Politika, Prosedr ve Rehberler Politika Uygulamalar Eitim Denetim7 8. Gizlilik, Btnlk, EriilebilirlikHangisi nemli ?GizlilikKuruma zel ve gizlilii olanbilgilere, sadece yetkisi olankiilerin sahip olmasBtnlkKurumsal bilgilerin yetkisizdeiim veya bozulmalarakar korunmasEriilebilirlikKurumsal bilgi ve kaynaklarnihtiya duyan kiilerce sreklieriilebilir durumda olmas 8 9. Risk Deerlendirmesi Kurumsal ileyii etkileyebilecek olan risklerin belirlenmesi vedeerlendirilmesi srecidir. Bir risk deerlendirmesi yaplmadan, kurumsal ileyiin politika,prosedr ve uygulamalaryla ne kadar korunduu belirlenemez. Risk ynetimi konusunda yetkililere -tercihen st ynetim- ihtiyaduyulmaktadr. st ynetimin onay ile srecin nemi ve verimi artacak, alanlarpolitika ve prosedrlere daha fazla nem verecektir.9 10. Risk YnetimiRisk Ynetimi Kurumun kar karya olduu risklerin belirlenmesi, Varlklarn zaafiyetlerinin ve kar karya olduklar tehditlerinbelirlenmesi, Ortaya kan riskin nasl ynetilecei ve nasl hareket edileceininplanlanmassrecidir. 10 11. Risk YnetimiAamalar Risk ynetim ekibi kurma Tehdit ve zaafiyetleri dorulama Organizasyon varlklarnn deerlerini belirleme Riske kar yaplacak hareketleri belirlemeKavramlar Tehdit Zaafiyet Kontroller 11 12. Risk Ynetimi Kavramlar TehditOrganizasyonu olumsuz etkileyebilecek olan insan yapm veya doal olaylar ZaafiyetVarlklarn sahip olduu ve istismar edilmesi durumunda gvenliknlemlerinin almasna neden olan eksiklikler KontrollerZaafiyetlerin boyutunu azaltc, koruyucu veya etkilerini azaltc nlemler Caydrc Kontroller Saptayc Kontroller nleyici Kontroller Dzeltici Kontroller12 13. Risk Ynetim KontrolleriDzelticiKontrollerTehdit SaldrZaafiyetAzaltr Oluturur stismarOlutururEtki SaptarDzeyini Drr htimaliKorur AzaltrCaydrcSaptaycnleyiciKontroller Kontroller Tetikler Kontroller13 14. Risk Ynetim Takm Tek bana yaplabilecek bir i deildir, yardmclar ve dier nemlidepartmanlardan alanlar ile yaplmaldr. Bylece riski grmek vekavramak daha kolay olacaktr. Potansiyel Gruplar ; Biliim Sistemleri Gvenlii Biliim Teknolojileri ve Operasyon Ynetimi Sistem Yneticileri nsan Kaynaklar Denetim Fiziksel Gvenlik Devamll Ynetimi Bilgi Varlklarnn Sahipleri14 15. Tehditleri Belirleme Doal Olaylar Deprem, Sel, Kasrga nsan Yapm Olaylar D Kaynakl OlaylarVirs, Web Sayfas Deiimi, Datk Servis Engelleme Kaynakl Olaylar alanlarE-Posta Okuma, Kaynaklara Yetkisiz Eriim, Bilgi Hrszl Eski alanlarnceki Haklarn Kullanm, Bilgi Hrszl, Gizli Bilgilerin fas 15 16. Zaafiyet, Tehdit ve RiskTehdit Tipi TehditZaafiyet/stismar Oluan Risk Kaynakl nsan Kt yetkilendirme ve izleme sistemi Veri deiimi veya yok alanYapmolmay edilmesiD Kaynakl nsanHatal gvenlik duvar Kredi kart bilgilerinin SaldrganYapmyaplandrmas alnmasDoalYangn Kt yangn sndrme sistemi nsan hayat kaybD Kaynakl nsan devamllnn VirsGncellenmemi anti-virs sistemiYapm aksamas Sabit DiskVeri kayb, ok miktardaTeknik TehditVeri yedei alnmamas Bozulmas i kayb16 17. Varlklarn Deerlerini Belirleme Gerek risk ynetimi iin hangi varln kurum iin daha deerliolduu doru biimde belirlenmelidir. Saysal/Nicel Risk Deerlendirmesi yaplacak ise varlklara parabirimi cinsinden deer atanmaldr. Eer Saylamayan/Nitel Risk Deerlendirmesi yaplacak isevarlklarn nceliklerinin belirlenmesi yeterlidir; ancak kacaksonularn saysal olmayaca da n grlmelidir.17 18. Nicel Risk Deerlendirmesi Saysal risk deerlendirme yntemidir, saylar ve para birimleri ile riskbelirlenir. Srecin tm elemanlarna saysal deer verilmelidir. Varlk, Etki Dzeyi, Korunma Verimlilii, Korunma Maliyeti vb. Temel kavramlar ve formller ile risk deerlendirmesi yaplr. Tekil Kayp Beklentisi (SLE) Tekil Kayp Beklentisi = Varlk Deeri x Etki Dzeyi Yllk Gerekleme htimali (ARO) Tehditin bir yl iinde gerekleme ihtimali Yllk Kayp Beklentisi (ALE) Yllk Kayp Beklentisi = Tekil Kayp Beklentisi x Yllk Gerekleme htimali18 19. Nitel Risk Deerlendirmesi Nicel tanmlama tm varlklara veya tehditlere kolayca uygulanamaz,Nitel tanmlama ise ncelik ve nem seviyelerine gredeerlendirmedir. Deerlendirme kts saysal olmayacaktr, bu durum st ynetimtarafndan nceden bilinmelidir. Soru/Cevap veya neriler ile ncelikler belirlenebilir rnek nceliklendirme Deerleri : Dk/Orta/Yksek Dk : Ksa srede telafi edilebilen durumlar iin Orta : Organizasyonda orta dzey maddi hasar oluturan,giderilmesi iin maddi harcamalar gereken durumlar iin Yksek : Organizasyon sonlanmas, mteri kayb veya yasalolarak nemli kayp oluturacak durumlar iin * NIST 800-02619 20. Riske Kar Davran Belirleme Riskin Azaltlmas Bir nlem uygulanarak veya kullanlarak riskin azaltlmas Riskin Aktarlmas Potansiyel hasar veya durumlarn sigorta ettirilmesi Riskin Kabul Edilmesi Riskin gereklemesi durumunda oluacak potansiyel kaybn kabul edilmesi Riskin Reddedilmesi Riskin inandrc bulunmamas ve gzard edilmesi20 21. Risk HesaplamasRiske kar davran belirlenmesinde varlk deeri, hasar boyutu,nlem ve sigorta maliyeti, alnan nlemlerin maliyet etkinlii dikkatledeerlendirilmelidir. Tehdit x Zaafiyet x Varlk Deeri = Toplam Risk Toplam Risk - nlemler = Arta Kalan Risk21 22. Gvenlik Ynetim SreciGvenlik Politikas Gvenlik Politikas Gvenlik Politikas OluturmaUygulamas Denetimi Gvenlik Politikas veya Uygulama HatalarnnAnalizi ve yiletirme22 23. Politika, Prosedr ve Rehberler Organizasyonun gvenlik ncelikleri, organizasyon yaps vebeklentileri yazl olarak hazrlanmaldr. st ynetim, organizasyonun gvenlik nceliklerini belirlemede kilitrole ve en st dzey sorumlulua sahiptir. Hazrlanan politika, prosedr ve rehberler, yasalarla ve sektrelsorumluluklarla uyumlu olmaldr. Hazrlanan dkmanlar, alanlardan beklentileri ve karlanmayanbeklentilerin sonularn aka ifade etmelidir. 23 24. Politikalar Gvenlik politikalar iin mutlak suretle st ynetimin onayalnmaldr. Politikalar, kurumsal gvenlik yaklamn ifade eden dkmanlarnen stnde yer almaktadr. Bu dorultuda genel yaklam ve olmasgerekenler, basite ve uygulanabilir biimde ifade edilmelidir. yi hazrlanm politikalar, politikann sorumlularn, ihtiya duyulangvenlik seviyesini ve kabul edilebilir risk seviyesini akabelirtmelidir. zel bir durum veya srece ynelik, kstl tanmlama veya detaylariermemelidir.24 25. Politika Trleri Duyuru Politikalar alanlarn, davranlarnn sonularn bildiinden eminolunmas hedeflenmektedir. Bilgilendirici Politikalar alanlarn bilgilendirilmesini ve eitilmesini salayarak, grevlerinin ve beklentilerin bilincinde olmalar hedeflenmektedir. Yasal Politikalar Organizasyonun att admlarn, yasal ve sektrel sorumluluklar ile uyumlu olmasnn salanmas hedeflenmektedir. 25 26. Standartlar, Temel Seviyeler, Rehberler veProsedrler Standartlar Organizasyon srelerinin sahip olmas gereken standartlarn belirlendii dkmanlardr. Politikalardan daha zel tanmlamalar iermektedir. Temel Seviyeler Sistem, a veya ekipmanlarn sahip olmas gereken en temel gvenlik seviyelerinin tanmland dkmanlardr. Rehberler Bir iin nasl yaplmas gerektii konusunda neriler ve yntemler ieren dkmanlardr. alanlarn zel durumlarna uygulayabilecei biimde esnek olmaldr. Prosedrler Bir iin nasl yaplacan adm adm belirleyen, ie veya srece zel, ekipman deiimlerinde gncellenmesi gereken tanmlamalar ieren dkmanlardr. 26 27. Politika Uygulamalar st ynetimin onaylamad ve desteklemedii bir ilemuygulanamayacaktr. alanlar, st ynetimin onaynn aka grlmedii bir ilemiyapmaya gnll olmayacaklardr. nemli Admlar ; Veri Snflandrma Roller ve Sorumluluklar Gvenlik Kontrolleri 27 28. Veri Snflandrma Kurumsal gizlilik veya yasal hak ieren bilgiler korunmaldr. Bunedenle veri snflandrma yaplarak, verilerin sahip olduklar ncelikve deerler belirlenebilir. Her bir veri, kurum iin ifade ettii deer, kullanlamaz hale gelmesi,deitirilmesi veya ifa edilmesi durumunda oluacak zarar dikkatealnarak snflandrlmaldr. Farkl snflandrma etiket gruplar kullanlabilir Snflandrlmam, Kuruma zel, Gizli, ok Gizli alanlarn, sahip olduklar gvenlik seviyesine gre verilereeriimine imkan salamaktadr.28 29. Roller ve Sorumluluklar Roller ve sorumluluklar aka ayrlm olmaldr, bylece gvenlikihlallerini ynetmek kolaylaacaktr. rnek Roller Veri Sahibi Veri letmeni Kullanc Gvenlik Denetmeni29 30. Gvenlik Kontrolleri Gvenlik kontrollerinin amac, kurumun gelitirdii gvenlikmekanizmalarnn uygulanmasn salamaktr. Gvenlik Kontrol Trleri Ynetimsel e Alm Sreci alan Kontrolleri ten karma Sreci Teknik Fiziksel 30 31. Eitim alanlar, kurum politikalar, grevleri, sorumluluklar, kullanmaktaolduklar ekipmanlar ve gerekli teknolojiler konusunda eitilmelidir. Ksa Sreli Eitimler Uzun Sreli Eitimler Farkndalk Eitimleri Eitim Sreci Bileenleri Organizasyonun Hedefleri ve Gereksinim Deerlendirmesi htiyalar Dorultusunda Uygun Eitimin Belirlenmesi Eitim Yntemleri ve Aralarnn Belirlenmesi Eitim Verimlilik Deerlendirmeleri 31 32. Denetim Organizasyonun sahip olduu gvenlik altyaps ve gvenlik ynetimsreci periyodik olarak denetlenmelidir. Denetim sreci kullanlarak, politikalar ile uygulamalarn uyumluluu,doru kontrollerin doru yerlerde uyguland ve alanlara sunulaneitimlerin gerekten ie yarad dorulanabilir. Politika denetimlerinde standart yntem ve ekiller uygulanmaszordur. Ancak uygulanan politikalarn uyumlu olduu standartlarndenetim sreleri bu konuda rehberlik salayabilir. Kurum ii veya bamsz denetiler tarafndan salanabilir. 32 33. Sistem Mimarisi ve Modelleri 34. Sistem Mimarisi ve Modelleri Bilgisayar Sistem Mimarisi Gvenlik Mekanizmalar Denetim Gvenlik Modelleri Dkmanlar ve Rehberler Sistem Dorulama 34 35. Sistem Mimarilerine Ynelik Skntlar Programlama Hatalar Bellek Tamalar (Buffer/Heap/Stack Overflow) Karakter Biim Tanmlamalar (Format String Attacks) Arka Kaplar Asenkron Saldrlar Gizli Kanallar Artml Saldrlar Servis Engelleme35 36. Gvenlik MekanizmalarTehditlere zm olarak, sreler ve uygulamalar iin gvenlikmekanizmalar oluturulmutur. Temelde salanan gvenlik ile oksayda saldr daha balamadan engellenecek veya etki alanazaltlm olacaktr. Sre Ayrm Operasyon Durumlar Koruma Halkalar Gvenilir Bilgisayar Temelleri 36 37. Sre Ayrm Sre ayrm, her bir srecin bellek blmlerinin belirlenmesi vebellek snrlarnn ynetilmesi ilemidir. Sistem gven seviyesini ynetmek iin sre ayrm gereklidir. okseviyeli gvenlik sistemi olarak sertifikalanmak iinde sre ayrmdesteklenmelidir. Sre ayrm yaplmaz ise kt niyetli bir sre sistemde bulunandaha nemli srelere ait verileri okuyabilir, deitirebilir veyasistemin kararlln etkileyerek kmesine neden olabilir. Sanal makineler, sre mantksal/fiziksel olarak sre ayrmuygulanan sistemlerde, kullanclar/sreleri tm sistemeeriebildiklerine inandrabilir. 37 38. Operasyon Durumlar Bilgiler farkl nem seviyelerindedir; bu nedenle sistemler hassas bilgileri ilerken veyakaydederken, hassasiyetine uygun hareket etmelidir. Bu grevlerin uygulamabiimlerini ynetici veya sistemin kendisi belirler. Tek durumlu sistemlerde bilgilerin hassasiyet seviyesi eit kabul edilir. Bilgilerinilenmesi konusunda ynetim sorumluluu, sistemlerin ynetim politikalarn veprosedrlerini hazrlayan yneticidedir. Genellikle adanm ve tek amal sistemlerolurlar. ok durumlu sistemlerde, bilgilerin ileyii iin yneticiye ihtiya yoktur. Farklhassasiyet ve gvenlik seviyeleri belirlenmi ve uygulanmaktadr. Srelerkompartmanlanmtr, bilgiler gerektii kadar bil prensibi ile datlr. Beklenmeyen Operasyon Sonlanmas : Fail Safe (Bir sre hata retirse, tm servisler ve sistem durdurulur) Fail Soft (Bir sre hata retirse, sadece kritik olmayan servisler durdurulur) Fail Open (Bir sre hata retirse, sistem almaya devam eder)38 39. Koruma Halkalar letim sisteminin , sistem bileenlerine duyaca gveni belirlemekamal oluturulmutur. Gven seviyeleri eklinde planlanmtr.Sadece konsept iin kullanlmaktadr, baz zel iletim sistemi veyasistemler tarafndan kullanlmaktadr. Gven seviyesi orannda komutlar ilenecektir, halka modelinindna doru yetkiler azalmaktadr. Halka 0 (letim Sistemi ekirdei, En Yetkili Blm) Halka 1 (letim Sisteminin Yetkisiz alacak Bileenleri) Halka 2 (Gird/kt lemleri, Srcler, Dk Seviye lemler) Halka 3 (A servisleri, Uygulamalar, Kullanc ilemleri)39 40. Gvenilir Bilgisayar Temelleri Gvenilir Bilgisayar Temeli (Trusted Computing Base - TCB), sistemin korumamekanizmalarnn olmas ve sistem gvenlik politikalarnn uygulanmas iin sorumluolmalar anlamna gelir. Gvenilir Bilgisayar Temeli, Gizlilik ve Btnl Hedeflemektedir. 4 Temel Fonksiyon Vardr : Girdi/kt Operasyonlar alma Alanlar Deiimi Bellek Korumas Sre Etkinletirmesi Referans monitr nemli bir bileendir, sadece yetkili srelerin nesne eriimlerini vekullanmlarn salar. Referans monitr, sistemin kalbi olan ve tm eriim istekleriniyneten gvenlik ekirdei ile uygulanr. Gvenlik ekirdeinin Salamas Gereken zellikler : Tm eriimlerin denetimi yapmal Deiim ve dzenlemeye kar kendisini korumal Doru yaplandrld test edilmeli, dorulanmal40 41. Denetim Gvenlik Modelleri Denetim gvenlik modelleri, kimin/neyin nesnelere eriilebilecei,nasl eriebilecei ve eriince neler yapabileceini, bir politikadahilinde gizlilik ve btnlk zorlamalaryla salamaktadr. Btnlk Biba Clark-Wilson Gizlilik Bell-LaPadula Take-Grant Model Brewer and Nash 41 42. Dkmanlar ve Rehberler Rainbow Series NSA (NCSC) tarafndan hazrlanmlardr Orange Book (TCSEC) - Gizlilik - Tekil sistem Red Book (TNI) - Gizlilik + Btnlk - A ITSEC Avrupa standart, gizlilik+btnlk+eriilebilirlik salamay hedefler 10 F (ilevsellik), 7 E (garanti) snf bulunur F1-5 ve E0-6 birlikteliklerinin TCSECte karl vardr F6-10 aras ise btnlk ve eriilebilirlii tanmlar Common Criteria ISO tarafndan hazrlanan ok sayda standarta zmdr ISO 15408, EAL 0-7 ISO27001-2700242 43. ISO 270011. Risk Deerlendirme ve Tehditlendirme2. Gvenlik Politikas3. Gvenlik Organizasyonu4. Varlk Ynetimi ve Snflandrma5. nsan Kaynaklar Ynetimi6. Fiziksel ve evresel Gvenlik7. letiim ve Operasyon Gvenlii8. Eriim Denetimi9. Bilgi Sistemleri Temini, Gelitirilmesi ve Ynetimi10. Gvenlik hlal Ynetimi11. Devamllk Ynetimi12. Yasalar ve Standartlarla Uyumluluk 43 44. Sistem Dorulama %100 gvenlikten bahsedilemez, her zaman bir risk vardr Bilgi gvenlii yneticileri ve uzmanlar, riskleri anlamal,deerlendirmeli ve nasl karlamalar gerektiini bilmelidir Sistemlerin sahip olmalar gereken gvenlik seviyeleri belirlenmeli,dzenli aralklarla denetimler ve risk deerlendirmeleri yaplmal Kurumlar, altklar sektrlerine bal olarak, sistemlerinin gvenlikseviyelerini taahht veya belgelemek durumunda olabilirler Sarbanes & Oxley Basel I-II Gramm-Leach-Bliley Act ISO27001 Cobit 44 45. Eriim Denetimi 46. Eriim Denetimi Eriim Denetimine Ynelik Tehditler Eriim Denetim Tipleri Kimliklendirme, Dorulama, Yetkilendirme Merkezi Dorulama Veri Eriim Denetimi Saldr Tespit/nleme Sistemleri Sistem ve A Szma Testleri 46 47. Eriim Denetimi Eriim denetimi kullanlarak, alanlarn ve dier kiilerin yetkileriorannda kaynaklara eriebilmesinin salanmas ve yetkisizeriimlerin engellenmesi hedeflenmektedir. Teknik veya Fiziksel Eriim Denetim Yntemleri Biyometrik Sistemler, Kullanc/ifre Kullanm, MerkeziDorulama vb. Eriim Denetim Yntemlerine Saldrlar Servis Engelleme, Kimlik Sahtecilii, ifre Krma Saldr Tespit/nleme Sistemleri47 48. Eriim Denetimine Ynelik Tehditler Saldrlarda en ok hedef alnan sistemler eriim denetimisistemleridir. ifre Saldrlar Szlk Saldrlar Deneme/Yanlma Saldrlar Pasif ifre Krma Saldrlar Elektrik Sinyalleri Szmas TEMPEST Servis Engelleme Saldrlar Tekil Servis Engelleme Saldrlar Datk Servis Engelleme Saldrlar 48 49. Eriim Denetim Tipleri Ynetimsel ifre politikalar, ie alm / ie son verme sreleri, kullanc farkndalk eitimleri vb. Teknik ok faktrl dorulamalar, kriptolama, a izolasyonu, DMZ, anti-virs sistemi vb. Fiziksel Kamera sistemleri, kilitler, gvenlik grevlileri vb. 49 50. Kimliklendirme, Dorulama, Yetkilendirme Kim Giri stiyor, Kimlii Dorumu, Yetkileri Neler ? Kimliklendirme; kullancnn sistemlerde bir kimlie sahip olmassreci Dorulama; kullanc kimliinin sistemlerdeki geerliliinindorulanmas sreci Yetkilendirme; kullancnn geerlilii dorulanan kimliinde sahipolduu yetkilerin kullancya atanmas sreci50 51. Dorulama Yntemler Kullanc Ad / ifre Tek Kullanmlk ifre Cihazlar Akll Kartlar Manyetik Kartlar Sertifikalar Biyometrik Sistemler ok Faktrl Dorulama Bildiiniz ey (ifre, Pin) Sahip Olduunuz ey (Sertifika, Akll Kart, OTP Cihazlar) Olduunuz ey (Biyometrik Sistemler) 51 52. Dorulama Yntemleri ifreler Dz ifre, ifre Karmakl, ifre Politikalar Ardk Sorularla Dorulama Tek Seferlik ifre Cihazlar Senkron Asenkron Biyometrik Sistemler Parmak izi, El geometrisi, Avu ii, ris, Retina, Ses, Klavye Hareketi Kullanclarn Kabul, Ya, Cinsiyet, Fiziksel Engeller Hata Trleri, Tip 1, Tip 2, CER52 53. Merkezi Dorulama Sorun : ok sayda kullanc, ok sayda kullanc hesab, birok ifre,ok sayda sistem ve a servisi Merkezi dorulama, tek bir sistemde kullanc kimliklerinin bulunmas,a ve sistem servislerinin dorulamay bu sistem zerinden yapmassrecidir. Kullanc sadece merkezi dorulama sunucusuna giri yapar, istektebulunduu sistem ve a servisleri kullancnn geerliliini merkezidorulama sistemine sormaktadr. Kerberos, SESAME, Krypto Knight (IBM) ve NetSP, Thin Client53 54. Kerberos MIT tarafndan 1985te gelitirildi. temel bileen var; istemci,sunucu ve KDC (Anahtar Datma Sunucusu) Anahtar Datma Sunucusu (KDC) Dorulama Servisi (AS) Bilet Verme Servisi (TGS) 1- TGS iin Bilet stenmesiDorulama Servisi - AS (1,2)Kerberos Anahtar 2- TGS iin Biletin VerilmesiDatma Sunucusu 3- Uyg.Sun. iin Bilet stenmesi KDCBilet Verme Servisi - TGS (3,4) 4- Uyg.Sun. iin Bilet Verilmesi stemci 5- Biletin Uyg.Sun. Gnderilmesi 6- Biletin Dorulama MesajUygulama Sunucusu (5,6)54 55. Kerberosun Zaafiyetleri Datk bir yap olmasndan dolay Devamllk ve Eriilebilirlik sorunlaroluabilmektedir. Zaman temelli bir servis olmas, tm dorulamala ve bilet geerliliklerindezaman kst olmasndan dolay a zerinde zaman senkronizasyonu oldukaiyi yaplmaldr. Bir saldrgan dorudan Kerberos sunucusuna saldrarak, tm servislereeriim hakk kazanabilir. Kerberos sunucusu tek noktada hata sebebidir, yedekleme veya kmelemegerekebilir. Ortadaki adam saldrlarndan etkilenebilmektedir. Kullanlan DES algoritmas krlabilmektedir; ancak bu sorun 5. srm ileortadan kalkmtr stemcinin balanaca sunucu/servis, istemcinin haklar hakknda bilgisahibi olmaldr. Kerberos yetkilendirmeyi kapsamamaktadr. 55 56. Eriim Denetim Modelleri Merkezi Eriim Denetimi Kullanc kimlikleri, haklar ve izinleri tek bir merkezden ynetilir.Eriim kararlarn tek bir sistem verirServis sahibi hangi kullanclarn eriebileceine karar verir, merkezi ynetim ieriksalar.RADIUS, TACACS, LDAP Datk Eriim Denetimi Kullanc kimlikleri, haklar ve izinleri a zerinde farkl yerleimlerde bulunur. Kaynaa en yakn olan merciye ynetim devredilir. (Blm Yneticisi gibi.) ok sayda alan ve gven ilikisi ynetilebilir. Eriim istekleri merkezi olarak ynetilmez. Alar aras ilikilerde, veritaban ynetim sistemlerinde kullanlr. Hatal standartlama veya gven ilikisi beraberinde gvenlik aklar getirir. 56 57. RADIUS Remote Authentication and Dial-In User Service (1997)RFC2058-2059 Merkezi olarak Dorulama (Authentication), Yetkilendirme(Authorization) ve Hesap Ynetimi (Accounting) servislerini sunar. Tm kullanc profilleri merkezi olarak tutulur ve UDP temellidorulama servisi ile dier sistemlere sunulur. Uzak Eriim (RAS) ve kablosuz alarda sklkla kullanlmaktadr. 57 58. RADIUSun alma Prensipleri stemci, RADIUS istemcisine balanarak kullanc bilgilerini verir. RADIUS istemcisi kullanc bilgilerini kriptolayarak RADIUSsunucusuna aktarr. RADIUS sunucusu bilgileri dorular, reddeder veya ek bir ilemyaplmasn talep eder. Bilgiler dorulanrsa istemci istenen kaynaa eriebilir.Kriptolanm Kullanc BilgileriKullanc Bilgileri Kabul/RedKabul/RedRADIUS SunucusuUygulama/Uzak Eriim Sunucusustemci RADIUS stemcisi58 59. LDAP Lightweight Directory Access Protocol (1993) Kullanc ve sistem profilleri merkezi olarak tutulur, LDAP protokolaraclyla dier sunucu ve servislere sunulur. Merkezi dorulama yaplabilmektedir. Dizin sistemleri tarafndan desteklenmekte ve yaygn olarakkullanlmaktadr. Distinguished Name (DN), Her girdinin tekil dorulaycsdr.cn=Fatih Ozavci, ou=Guvenlik, dc=gamasec, dc=net Kullanc bilgilerinin sorgulanmas amal ska kullanlmaktadr.59 60. Veri Eriim DenetimiVeri eriim denetimi verilere nasl eriilebileceini, kimlerin eriebileceini, eriince neler yapabileceklerinitanmlamaktadr. Mandatory Access Control (MAC) Discretionary Access Control (DAC) Role-Based Access Control (RBAC) Ruleset-Based Access Control (RSBAC) 60 61. letiim ve A Gvenlii 62. letiim ve A Gvenlii letiim ve A Gvenlii A Gvenliine Ynelik Tehditler Yerel A ve Bileenleri Uzak Alan A ve Bileenleri A Modelleri ve Standartlar TCP/IP Protokol Ailesi A Cihazlar Uzak Eriim IPSEC Mesajlama Gvenlii A Eriim Denetimi 62 63. letiim ve A Gvenlii letiim ve a altyaplar, birden fazla sistem veya an haberlemesiiin hayati neme sahiptir. letiim Altyaps Bileenleri Temel A Cihazlar A Protokolleri Ses letiim Sistemleri Uzak Eriim Sistemleri Kriptolama A Gvenlik Cihazlar 63 64. A Gvenliine Ynelik Tehditler Servis Engelleme Saldrlar SYN Flood, Land, Teardrop, Smurf, PoD, DDOS Bilgi Elde Etme Sniffing, ARP/DNS Spoofing, Phishing, War Dialing/Driving, Virus/ Worm/Spyware Zarar Verme, Veri Deiimi, Hrszlk Veritaban Saldrlar, Cep Telefonu Saldrlar, Kimlik Hrszl, ifre Krma, Yetki Ykseltimi, Para Deiim Saldrlar, Yazlm Korsanl, Oturum Yakalama, Spam64 65. Yerel A ve Bileenleri letiim Protokolleri IEEE 802 Ailesi A Topolojileri Bus Yldz Ring Kablolama Coaxial Twisted Pair Fiber-optic Kablosuz Alar (802.11) Bluetooth65 66. Uzak Alan A ve Bileenler Blgeler ve uzak mesafelerde yer alan yerel alar birbine balar Paket Anahtarlama X.25 (Paket anahtarlama,Analog, Telefon Hatlar, 56Kbps) Frame Relay (Sanal devre anahtarlama, PVC/SVC) ATM (Hcre anahtarlama, 53-Byte) VOIP (Paket anahtarlama, IP zerinden ses) Devre Anahtarlama POTS (Analog, 9.6-56Kbps) ISDN (B(64K)/D(16K) Kanallar, BRI(128Kbps), PRI (1.544 M) T Tayclar (Kiralk Hatlar, T1 (24xDS0[64K]), T3 (672xDS0[K]) xDSL (simetrik =IDSL, HDSL, SDSL, asimetrik = ADSL, VDSL) Kablo Modemler 66 67. A Modelleri ve StandartlarOSI KatmanlarUygulama KatmanHttp, Ftp, Smtp, Mail, WebSunum Katman Veri Kriptolama, zme, evrimOturum KatmanRPC, SQLTama KatmanTCP, UDP, ESP, AHA KatmanIP, Ynlendirici, Gvenlik Duvar Veri Ba KatmanSwitch, A Kart, ARPFiziksel Katman Kablolama, Hub67 68. TCP/IP Protokol Ailesi 1982de DOD tarafndan standartlatrld. Katmanlar A Eriim Katman ( OSI 1 ve 2ye karlk gelmektedir) Internet Katman IP (X.X.X.X/Y - 10.0.0.0, 172.16-32.0.0, 192.168.0.0, 127.0.0.0) ICMP (Echo, Time Stamp, Redirect, Destination Unreachable vs.) ARP (MAC/IP evrimi, Dorulama Yapmaz) Ulam Katman TCP (Oturum Temelli, Sra Numaras, Bayraklar) UDP (Sorgulama Temelli, Sorgu Numaras) Uygulama Katman HTTP, SMTP, FTP vb.68 69. TCP/IP emas ve Protokol BalantlarHTTP DNSUygulama Katman PortPort TCP UDPESP AH ICMP Ula"m Katman IPICMP Internet KatmanFiziksel Ba!lant A! Eri"im Katman69 70. A Cihazlar Hub Fiziksel Katman, Standart Balant Bileeni, GvenlikBulunmuyor Bridge Veri Ba Katman, Uzak Mesafelerde Kullanlyor Switch Veri Ba Katman, Port Anahtarlama Yapyor, Ynetilebilir, VLAN Oluturulabilir Ynlendirici (Router) A Katman, IP veya IPX Ynlendirmesi, RIP/OSPF/BGP Modem Fiziksel Katman, Farkl Balant Trlerinde Kullanlabilir70 71. Uzak Eriim PPP (Point to Point Protocol) 1994 IETF, her balant trnde ve hznda alabilir. Dorulama Protokolleri PAP (Dz Metin, Kullanc Ad / ifre) CHAP (3 Yollu Dorulama, MD5, MS-CHAP) EAP (Sertifika, OTP, MD5 vb.) Merkezi Dorulama (RADIUS, TACACS) Sanal zel Alar Gvensiz alardan gvenli iletiim Alar aras veya istemciler aras yaplabilir PPTP, L2TP, IPSEC, SSL-VPN, MPLS 71 72. IPSEC Protokol En sk kullanlan sanal zel a sistemidir Protokoller IKE/ISAKMP (TCP/500, Anahtar Deiimleri ve Dorulama) ESP (letiim eriinin Filtrelenmesi) AH (Balk Bilgilerinin Filtrelenmesi) Balant Trleri Transport (stemciler aras kullanm) Tunnel (Alar aras balant, IPSEC sunucusu a geidi olur) L2TP, IPSEC zerinden tnellenebilir Standart olmasa da X509 v3 sertifikalarn ou IPSEC sunucusudestekler72 73. Mesajlama Gvenlii Gereklilik nkar Edilemezlik Gizlilik Btnlk PGP (Pretty Good Privacy) Phil Zimmerman 1991 Otorite Gereksinimi Yoktur, Gven Anahtar Kullancsna Bal MD5/SHA1, DES/3DES/AES, Diffie-Hellman, RSA, DSS S/MIME (Secure Multipurpose Internet Mail Extensions) x.509 Sertifikalar Kullanlr Sertifika Otoritesi Gereklidir PEM (Privacy Enhanced Mail) Kullanlmyor, x.509 Temelli Anahtar Ynetimi 73 74. A Eriim Denetimi Gvenlik duvar (Firewall), a iletiiminde eriim denetimi ilemi iin kullanlansistemlere verilen genel isimdir Ynlendirici Switch Gvenlik Duvar Gvenlik Duvar Mimarileri Statik Paket Filtreleme Dinamik Paket Filtreleme Proxy Uygulama Seviyesi Proxy Devre Seviyesi Proxy SOCKS Proxy A Adres evrimleri NAT (Network Address Translation) PAT (Port Address Translation) DMZ (De-Militarized Zone) 74 75. Uygulama ve Sistem Gelitirme Gvenlii 76. Uygulama ve Sistem Gelitirme Gvenlii Uygulama Gvenliine Ynelik Tehditler Dosya Sistemi Deiim Kontrolleri Operasyon Durumlar Sistem Gelitirme Yaam evrimi Yazlm Gelitirime Modelleri Deiim Ynetimi Programlama Dilleri Veritaban Ynetimi Veritaban Kavramlar 76 77. Uygulama Gvenliine Ynelik Tehditler Virs/Worm/Truva At/Casus Yazlm Bellek Tamalar (Buffer/Heap/Stack Overflow) Karakter Biim Tanmlamalar (Format String Attacks) Deitirilmi Girdi Saldrlar (SQL/Command/Xpath Injection, XSS) Servis Engelleme Saldrlar Asenkron Saldrlar Arka Kaplar Gizli Kanallar Servis Engelleme 77 78. Dosya Sistemi Deiim Kontrolleri Dzenli Yedekleme Deiimlerde Geri Dn Gereksimi Dosya Sisteminde Aralkl Deiim Kontrol Dosyalarn HASH bilgileri oluturulur ve kaydedilir Aralkl olarak yeni HASHler oluturulur ve kontrol edilir Deiimler gzlenir, kritik dosyalardaki deiim incelenir HASH Algoritmalar Checksum MD5 SHA-178 79. Operasyon Durumlar Uygulamalara ynelik saldrlarn byk blm, uygulama veya altsrecin sonlanmasn takiben komut altrlmasna dayanmaktadr Beklenmeyen Operasyon Sonlanmas : Fail Safe (Bir sre hata retirse, tm servisler ve sistemdurdurulur) Fail Soft (Bir sre hata retirse, sadece kritik olmayan servislerdurdurulur) Fail Open (Bir sre hata retirse, sistem almaya devam eder) Yazlmlarn gelitirilmesinde, iletim sisteminin salam olduuoturum davranlar ile paralel hareket edilmelidir79 80. Sistem Gelitirme Yaam evrimi Sistem Gelitirme, her aamasnda ihtiya duyulan gvenlikgereksinimlerinin belirlenmesi ve uygulanmas gereken bir sretir Standartlar NIST 800-64, "Security Considerations in the Information SystemDevelopment Life Cycle, NIST 800-14, "Generally Accepted Principles and Practices forSecuring Information Technology Systems. NIST 800-14e Gre Sistem Gelitirme Aamalar Proje lklendirme Gelitirme/Temin Uygulama Operasyon/Bakm Sonlandrma 80 81. Proje lklendirme Proje Ekibi Oluturulmas Projenin Hedefinin Tm Ekip yelerince Anlalmas Proje Balang, Biti ve Dier Aamalarnn Planlanmas lenecek Bilgilerin Hassasiyet Seviyesinin Belirlenmesi Sre inde Karlalabilecek Riskler ve Sonularnn Analizi81 82. Gelitirme / Temin Bu Aamada Sistem Tasarlanr, Gelitirilir, Programlanr ve/veyaTemin Edilir. Programlama Gvenliine Hassasiyet Gsterilir; Girdi/kt lemleri Girdi Trleri Belirlenmesi Aktarm/Oturum Kullanm Hata Saptama ve Dzeltme Geerlilik Kontrolleri Yetkilendirme Kontrolleri zleme Mekanizmalar Dosya Koruma emalar allacak Platformun Kstlamalarna Gvenilmemelidir 82 83. Kabul Edilebilirlik Testi ve Uygulama Yazlm gelitirme sonras kabul edilebilirlik testleri uygulanmaldr Gelitiriciler Gvenlik Ekibi Dier Ekip yeleri Kabul edilebilirlik testlerinde grev ayrm uygulanmaldr. Ayn ekiptarafndan gelitirme, dzenleme ve dorulama yaplmamaldr Kalite kontrol mhendisleri, programclar ve proje ekibinin onaynnardndan sistem yerletirme iin hazr hale getirilir 83 84. Operasyon / Bakm Sistem/Uygulama planlanan platforma aktarlr Hazrlanan plaform iin Sertifikalandrma ve Onaylama gereksinimi Teknik sertifikalandrma, sistem gvenliinin, gvenlikbileenlerinin, koruma mekanizmalarnn ve retici/mterimemnuniyeti iin gerekli standartlarn kontrol edilerekbelgelenmesi admdr Onaylama aamas, Sistem/Uygulamann istenen biimde veartlarda altnn ynetim resmi onayndan gemesidir84 85. Sonlandrma Sistem veya uygulama iin gerekmeyen verilerin yok edilmesiaamasdr Sonlandrma Aamalar Uygulamalarn Sonlandrlmas Yedek/Ariv Bilgilerinin Temizlenmesi Disk Temizlenmesi Ekipmanlarn Sonlandrlmas Disk zerinden veri silmek yeterli deildir, kazmak olarak bilinenWIPE ilemi yaplmal ve verinin tekrar eriilemeyecek durumdaolduu dorulanmaldr85 86. Yazlm Gelitirme Modelleri Waterfall Aamalardan oluur, belgeleme kolaydr, byk projelerde uygulanmas zordur Spiral 1988, Barry Boehm, Aamalardan oluur, her aama kendi risk deerlendirmesine sahiptir, mteri tarafndan inceleme yaplr, proje ilerlemesi yavatr JAD (Joint Application Development) 1977, IBM, Kullanclar ve gelitiricilerin beraber bulunduu ortamda gelitirme yaplr, RAD (Rapid Application Development) Hzl yazlm gelitirme, zaman limiti olan projelere uygundur, hzl karar verme gerektirir, kritik projelerde kullanlmamal CASE (Computer-Aided Software Engineering) Yazlm gelitirme aralaryla sistematik analiz, tasarm, gelitirme ve uygulama yaplr, byk ve karmak projelere uygundur, gelitiricilerin eitimi gereklidir86 87. Deiim Ynetimi Yazlm gelitirmenin nemli bir bileenidir Gelitirme ekibi ve d katlmclara ait deiimlerin senkronize olmasve tm deiim endielerinin tartlmasn salamaktadr Aamalar ; Deiim ynetimi sre ve yntemlerinin belirlenmesi Deiim isteklerinin alm Deiimlerin uygulanmasnn planlanmas ve belgelenmesi Deiimlerin uygulanmas ve izlenmesi, Gerekiyorsa ek deiim nerilerinin belirlenmesi Uygulanan deiimlerin incelenmesi ve raporlanmas Gerekiyorsa deiim ynetim sisteminde dzeltmeler yaplmas87 88. Kriptolama 89. Kriptolama Kriptolama Kriptolama Tarihi Simetrik Kriptolama Asimetrik Kriptolama Btnlk ve Dorulama Ak Anahtar Altyaps (PKI) Kriptografi Kullanlan Servisler Kriptografi Saldrlar 89 90. Kriptografi Saldrlar Bilinen Dz Metin Saldrs Sadece evrilmi Metin Saldrs Doum Gn Saldrs Ortadaki Adam Saldrs Seilmi evrilmi Metin Saldrs Tekrarlama Saldrs 90 91. Kriptolama lk olarak gizlilik iin ihtiya duyulmutur. Daha sonra btnlk ve inkaredilemezlik gereklilikleri ortaya kmtr Kriptolama Kavramlar Algoritma Kriptografik Anahtar Kriptolama Kriptoanaliz Saysal mza Dz Metin evrilmi Metin Dz Metni evirme Yntemleri Blok Ak 91 92. Simetrik Kriptolama Paylalan tekil bir anahtar ile kriptolama yaplmas ilemidir En eski kullanm yntemidir, Sezar ve Scytale simetrik kriptolamadr Algoritmalar DES 56 Bit (ECB, CBC, CFB, OFB) 3DES 168 Bit (EEE2, EDE2, EEE3, EDE3) AES 128/192/256 Bit IDEA 128 Bit Blowfish 448 Bit Twofish RC4 128 Bit (Blok) RC5 2040 Bit (Ak) 92 93. Asimetrik Kriptolama Kriptolama ve zme anahtarlar farkldr, her taraf iin bir ak/genelbir gizli/zel anahtar bulunmaktadr Asimetrik kriptolamada en nemli sorun ak anahtar datmdr Kriptolamada gndericinin gizli anahtar ve her alcnn akanahtarlar kullanlr. zmede her alc kendi gizli anahtarn kullanr. Algoritmalar Diffie-Helman El Gamal ECC (Elliptic Curve Cryptosystem) RSA93 94. Btnlk ve Dorulama Veri zetleri MD Ailesi (MD2, MD4, MD5) SHA Ailesi (SHA-1, SHA-256, SHA-512) HAVAL HMAC (Hashed Message Authentication Code) Saysal mza MAC (Message Authentication Code) DSA (Digital Signature Algorithm) 94 95. Stenografi Stenografi, gnderilecek bilginin bir baka dosyann ieriindegizlenmesi ilemidir Genellikle resim dosyalar kullanlr nemsiz birka bit deitirilerek veri kaydedilir, dosyay ileyenyazlm deiiklik farketmez ve resim ise grntde bozulma olmaz USA Today gazetesi 11 Eyll saldrlarn dzenleyen El Kaide terrrgtnn stenografi kullanarak haberletiini iddia etmiti 95 96. Ak Anahtar Altyaps (PKI) Bileenler Sertifika Otoritesi (CA) Kayt otoritesi araclyla gelen sertifika isteklerini dorular Sertifika talep edenin kimliinin geerliliini dorular Kii ile ak anahtarn uyutuunu gsteren bir sertifika oluturur Kayt Otoritesi (RA) Sertifika talebini kabul eder, talep edenin kimliini dorular, sertifika otoritesine istei ve kimlii iletir Sertifika Geersizlik Listeci (CRL) Saysal Sertifika x.509 v3, ak anahtarn btnln, sertifikada bulunan bilgiler ile ak anahtarn rttn kantlar. Sertifika Datm Sistemi Kurum ii kullanm (Sertifika retimi, datm, kurulumu, depolanmas,deiimi, kontrol, sonlandrlmas) 96 97. Kriptografi Kullanlan Servisler Gvenli E-Posta PGP, S/MIME, PEM Uygulama Katman zmleri SSH, S-HTTP, SET Tama Katman zmleri SSL, TLS IPSEC ESP, AH, IKE (ISAKMP, OAKLEY) Dk Seviye Kriptografi Kullanm PAP, CHAP, PPTP 97 98. Operasyonel Gvenlik 99. Operasyonel Gvenlik Saldrganlar Saldr Metodolojisi nsan Kaynaklar Gvenlii Denetim ve zleme Kontrol Trleri Fax Ynetimi 99 100. SaldrganlarSaldrgan TrleriSu geni Dahili Saldrganlar Harici Saldrganlar AnlamMotivasyon Gen Saldrganlar Teknoloji Casuslar Frsat lke Casuslar Sulular ve Su rgtleri100 101. Saldr MetodolojisiBilgi Toplama TaramaZaafiyet DorulamaSisteme Szma Saldr Baarl Servis Engelleme Yetki YkseltmeBilgi almaKendini Gizleme Arka Kap Brakma 101 102. nsan Kaynaklar Gvenlii e Alm Sicil nceleme, Gizlilik Szlemesi, Politika Bildirimi, Eitim Grev Ayrm Dk Yetki Yaklam, Tek Grevin ok Kiiye Datlmas Grev Yeri Deiimi alanlarn Tecrbe Art, Gizli lemlerin Ortaya kmas, Yedekleme Dk Yetki Yaklam Sadece Gereken Yetkiler, Hedefin Cazibesini Azaltr Zorunlu Tatiller Gizli lem ve stismarlarn nlenmesi, Yedekleme Testi Sonlandrma Sistem Yetkilerinin Kapatlmas, Grevli Eliinde Toplanma ve Binadan Ayrlma, irket Kart ve Kimliklerinin Alm 102 103. Denetim ve zleme Takip edilebilirlik esastr, kullanc/sre takip edilecek veriye sahip deilsedenetim ve izleme yaplamaz A iletiimi, kullanc hareketleri, ihlaller ve deiimler izlenmelidir Denetim lemlerin olmas gerektii ekilde yapldnn kontroldr Yardmc aralar kullanlabilir : Sistem Kaytlar, Paket Yakalayc Eik Seviyeleri Normal hata saysndan fazlasna izin verilmemesi Saldr Tespiti Normal ile Anormal ilemlerin ayrtrlmas, A veya Sunucu Klavye zleme Ortam Eriim Kontrolleri Kamera sistemleri, biometrik/kartl sistemler, alarmlar, geitler 103 104. Kontrol Trleri nleyici Kontroller Risk veya Politika ihlallerinin artmasn nleyen ilemler Saptayc Kontroller Gvenlik ihllalerini saptamay ve dorulamay salayan ilemler Dzeltici Kontroller Yaplan ilemin tersini yaparak riski veya etkiyi azaltmay salayanilemler Kurtarma Kontrolleri Olay/hlal sonras sistemi tekrar normale dndren ilemler Caydrc Kontroller Olay/hlalin gerekleme olasln dren ilemler Ynlendirici Kontroller Olay/hlalin gereklemesini engelleyici ilemler104 105. Fax Ynetimi Fax letiiminin Sorunlar letiim kriptosuz olduundan trafik durdurulabilir ve dinlenebilir Gnderi hedefine vardnda cihazn haznesinde bekleyecektir, herhangi bir kii evraa eriebilir ou fax cihaz erit kullanr, atlan eritler araclyla gnderilerin kopyas edinilebilir Gvenli Fax letiimi Fax sunucusu araclyla iletiimin kriptolanmas mmkndr Fax sunucusu ald ve gnderdii belgeleri elektronik ortamda alacak,politikalar dorultusunda arivleyebilecektir Fax sunucusu Alnan bir belgenin ilgili kiiye otomatik veya manuelolarak gnderimini salayacaktr lem ve hata kaytlar tutarak sistemin izlenmesini de salayacaktr* Fax sunucular ayn zamanda bir a bileeni olduklarndan farkl gvenlikskntlar da bulunmaktadr. 105 106. A ve Sistem Szma Testleri Gvenlik aklar bulma, dorulama ve kullanma amal yaplantestlerdir. A veya sistemler ile ilgili tam bilgi veya yarm bilgi ile yaplabileceigibi hibir bilgi olmadan da test gerekletirilebilmektedir. Bamsz kurumlar araclyla sunulur, ilgili kurumun bilgisi ve onaygereklidir. nemli aamalar : Bilgi toplama, a haritalama, uygulama haritalama, gvenlik aklarn saptama, gvenlik aklar kullanm Ek aamalar : Uygulama testleri, sesli iletiim sistemleri testi, kablosuz a testleri, servis engelleme, sosyal mhendislik 106 107. Sreklilii 108. Sreklilii Srekliliine Ynelik Tehditler Sreklilii Ynetimi Sreklilii Plan Proje Ynetimi ve lklendirme Etki Analizi Kurtarma Stratejisi Sreklilii Plan Tasarm ve Gelitirilmesi Test, Bakm Farkndalk Eitim Ykmdan Kurtarma Plan Alternatif Yerleim ve Donanm Yedei Yazlm ve Veri Yedei 108 109. Srekliliine Ynelik Tehditler Felaket Trleri Doal Afetler (Deprem, Frtna, Sel, Kasrga) Teknik Afetler (Kesintiler, Virs/Worm Saldrganlar) Destek Sistemleri (Elektrik Sorunlar, Ekipman mr) nsan Yapm/Politik (Art Niyetli alanlar, Politik Ambargo,Protesto, Terr) Kesinti Etki Dzeyleri Dk (1 Gnden Ksa Kesintisi) Orta (1 Gn veya Fazla Sre Kesintisi, Geici Yer Deiimi) Yksek (Tam Ykm, Gnler veya Aylar Srebilir, Uzun Sreli Yerleim Deiimi) 109 110. Sreklilii Ynetimi Sreklilii ynetimi, bir sorun nedeniyle iin kesilmesi durumundakurtarmak deildir; sorunlara ramen iin devamllnn korunmasdr Ama, sorun durumunda oluan sreyi ksaltmak deil, iin devamiin gerekli nlemleri ve deiimleri bulmaktadr Kuruma zel olarak planlanmaldr ; Yerleim yeri zellikleri Kapasite kullanm Gvenlik ekipman kullanm 110 111. Sreklilii Plan in oluabilecek kesintilere ramen devam edebilmesi iin gelitirilir Potansiyel kayplarn oluma ihtimalini azaltacak nlemleri deiermektedir Sreklilii Plan Admlar Proje Ynetimi ve lklendirme Etki Analizi Kurtarma Stratejisi Plan Tasarm ve Gelitirmesi Test, Bakm, Farkndalk ve Eitim111 112. Proje Ynetimi ve lklendirme ncelikle st ynetimin destei alnmaldr Risk analizi yaplmal, kritik i srelerinin potansiyel kesintileribelirlenmelidir Proje Plan Oluturulmas Proje Kapsamnn Belirlenmesi Proje Planlaycsnn Atanmas Ekip yelerinin Belirlenmesi Proje Plannn Oluturulmas Veri Toplama Yntemlerinin Belirlenmesi112 113. Etki Analizi etki analizi, olas bir kesintinin oluturaca potansiyel kaybn belirlenmesini hedefler Etki Analizi Admlar lgili Kiilerle Grlmesi Veri Toplama Yntemlerinin Belirlenmesi zel Sorular Hazrlanmal, Her Bileen veya zelliin Kesintisi Durumunda Oluacak Nicel/Nitel Etki Dzeyini ermelidir Toplanan Verilerin Analizi Zaman-Kritik Srelerinin ve Bileenlerin Belirlenmesi Her Sre iin Tahamml Edilebilir Srenin Hesaplanmas Srelerinin Tahamml Edilebilir Sreye Gre nceliklendirilmesi Bulgularn Belirlenmesi ve Tavsiyeler ile Ynetime Raporlanmas Kayp/Etki lm Kriterleri Kabul Edilebilir Kesintisi Finansal ve Operasyonel Karlk Yasal/Uyumluluk Gereklilikleri Organizasyonel Reddetme 113 114. Kurtarma Stratejisi Kesinti Sebepleri Veri Kesintileri (Veri Kurtarma, Yedekleme, kizleme) Operasyonel Kesintiler (RAID, Yedek G Kaynaklar) Ortam ve Destek Kesintileri (Yangn, Havalandrma, letiim) Kesintileri (Personel Kayb, Ekipman Arzas) Doru Kurtarma Ynteminin Bulunmas Olas Alternatiflerden Herbiri iin Maliyet Hesaplamas Gerekli D Hizmetlerin Maliyetlerinin Belirlenmesi D Hizmetler iin Szlemelerin Hazrlanmas Tamamen Yerleim/Ortam Kayb iin Alternatif Stratejilerin Aratrlmas Bulgular ve Yorumlarn Raporlanarak Ynetimin Onayna Sunulmas114 115. Devamll Plan Tasarm ve Gelitirilmesi Kritik Srelerin Kurtarlmas iin Ksa ve Uzun Vadeli Plan Oluturulmal Yeniden yerleim iin kritik sre ve nceliklerin dorulanmas Kritik srelerin ihtiya duyduu destek sistemlerinin dorulanmas Potansiyel ykmlarn ve tam ykmdan kurtarma iin gerekli olan en azkaynaklarn hesaplanmas Kurtarma stratejisi seilmesi ve gerekli olan personel, sistem vetehizatlarn belirlenmesi Yeniden yerleim ve test srelerini ynetecek kiinin belirlenmesi Projenin tamamlanmas iin gerekli mali kaynaklarn hesaplanmas Plan ayn zamanda mteriler, i ortaklar ve acil servisler ile nasl bir iletiimkurulacan da iermeli Hazrlanan plan Devamll Plan ile karlatrlmal ve birletirilmeli115 116. Test, Bakm, Farkndalk ve Eitim Test Yntemleri Liste Denetimi (Kat zerinde her admn testi) Masada Test (Ekip yelerinin bir arada olduu toplant) Tatbikat (Kesinti varm gibi davranlacak, yeni yerleim dahil deil) levsel Test (Tatbikatn yeni yerleimide kapsamas, iki yerleimin e zamanl almas) Tam Kesinti (Doru hesaplama ve nlemlerle tam bir kesinti) Planda gerekli dzenleme ve gncellemeler yaplmal, srm gncellenerek ilgilibirimler bilgilendirilmeli Devamll Plan leyi Sorumlular Ynetim (Proje lklendirme, Tam Sorumluluk, Onay ve Destek) Orta Dzey Ynetim (Kritik Sistemlerin Dorulanmas ve nceliklendirilmesi) Devamllk Ekibi (Planlama, Gnlk Ynetim, Uygulama ve Test) lgili Birimleri (Plann Uygulanmas, letiim ve Test) devamlndaki rollere gre uygun eitimlerin sunulmas116 117. Ykmdan Kurtarma Plan Kurumun bir ykm durumundan kurtarlarak kritik i srelerinindevam ettirilmesini hedefler Ksmi Kurtarma (Zarar gren tehizat ve yerleimin ilevselliinin gerikazandrlmas) Hasar boyutunun ve kapsamnn deerlendirilmesi Kurtarlabilir tehizatlarn kurtarlmas Yerleimdeki onarm ve temizliin yaplmas Yerleimin tamamen ilevsel haline geri dndrlmesi Tam Kurtarma (Yedek yerleimin etkinletirilmesi)117 118. Alternatif Yerleim ve Donanm Yedei Yerleim Yeri Paylama Anlamas Alternatif Yerleim Yerleri Souk (Elektrik bulunan, bilgisayar kullanlabilen bo yerleim) Ilk (Souk yerleime ek olarak veri cihazlar, kablolama vb.) Scak (Tamamen ilevsel, ikiz kaynaklar ve cihazlar) oklu Veri Merkezleri (Farkl bir kurumda ikiz sistem odas) Servis Brolar (Sorumluluklarn devri, iin brodan ynetilmesi) Dier Alternatifler RAID Kullanm (oklu disk, kapasite ve devamllk avantaj) Veritaban kizleme (Veritabann iki ayr disk veya sistemde olmas) Elektronik kizleme (Alternatif yerleime otomatik yedek alma) Senkronizasyon (Alternatif yerleim ile gerek zamanl senkronizasyon)118 119. Yazlm ve Veri Yedei Gelitirici veya destek veren kurumlarn sonlanmas ihtimaline karkritik yazlmlara zel kaynak kod teslim anlamas hazrlanabilir Yedekleme RAID (Gerek Zamanl Yedekleme) A Temelli Depolama Sistemleri Yedekleme Trleri Tam Yedekleme Artml Yedekleme Farkllk Temelli Yedekleme Yedekleme Ortam Deitirme Yntemleri Basit (Gnlk 5, Aylk 12 Ortam) Bykbaba-Baba-Oul (Gnlk 4, Haftalk 4, Aylk 12 Ortam) Honai Kulesi119 120. Acil Mdahale ve hlal Ynetimi 121. Gvenlik hlalleri Kurumun var olan gvenlik politika ve prosedrlerine uygunsuzolarak, bilginin gizliliine, btnlne veya eriilebilirliine ynelikyaplan ilem ve hareketler Gvenlik hlali Trleri Fiziksel Gvenlik hlalleri Kurum alanlarnn Gvenlik hlalleri Kurum D Kiilerin Gvenlik hlalleri Bilgiye zinsiz Eriim Bilginin Deitirilmesi, Btnlnn Bozulmas Servisin Engellenmesi121 122. Gvenlik hlali Ynetimi Acil Mdahale Ekibi Ekip yeleri, grevleri ve ynetiminin belirlenmesi hlal Bildirim Sreci Acil Mdahale Plan Potansiyel ihlal trlerinin ve atlmas gereken admlarnbelirlenmesi Elde edilen bulgularn raporlanmas srecinin tanmlanmas Plan Testi Dzenli olarak acil mdahale plan tatbikat veya masa stanalizler ile test edilmelidir Eitim ve Farkndalk Ekip yeleri, mteriler, i ortaklar, dier alanlar122 123. Acil Mdahale Ekibi Ekip yeleri Biliim Blm, Fiziksel Gvenlik Blm, Blm Yneticileri Denetim Gvenlik Sorumlular Halkla likiler Hukuk Blm A ve Sistem Ynetimi nsan Kaynaklar Ynetim, Grev ve Yetki Dalm Ekip yeleri Yetkinlii Uzmanlk Alannda Grevlendirme Mdahale Alanna zel Eitimler Genel Hareket Plan ve Mdahale Eitimleri123 124. hlali Bildirim Sreci Bildirim Srecinin Tanmlanmas Bildirimin dorudan ve tek bir kanala ynlendirilmesi Eriimi kolay, dikkat ekici bir iletiim yntemi kullanlmas Bildirim gvenliinin salanmas, gvenli iletiim Bildirim Formlar Potansiyel Zaafiyet / Olumu hlal Ayrm Grevliye Yardmc Olabilecek Bilgilerin Girilebilmesi Bildirimi Gerekletirenin Yapmas Gerekenlerin Talimatlandrlmas Gizlilik Bildirimi Bildirim Ynetimi Bildirim Durumu Takibi Grevlilere Datm Ekip Ynetiminin Haberdar Edilmesi 124 125. Acil Mdahale Plan Farkl trlerdeki ihlaller iin prosedrler hazrlanmas Bilgi hrszl, servis engelleme, bilgi deiimi, virs/worm Mdahale Admlarnn Belirlenmesi hlalin dorulanmas, analizi, etki alann belirlenmesi Doru mdahale ekli ve ynteminin belirlenmesi, uygulanmas Kurtarma veya etkilenen kurumlar iin gerekli iletiimin salanmas st ynetime olay bulgu ve sonularnn raporlanmas Kant Toplama Yntemlerinin Belirlenmesi Geerli ve gerekli kantlarn tanmlanmas Kantlarn alnma ve saklanma yntemlerinin belirlenmesi Kurtarmada Dikkat Edilmesi Gerekenler Sadece yetkili ve ilgili kiilerin sistemlerde bulunduu Canl veya devre d analizlerde sistem btnlne zarar verilmemesi Kurtarlan sistemlerin devamll ve btnlnn en ksa srede dorulanmas Atlan tm admlarn detayl olarak belgelenmesi st ynetime dzenli ve istenen tarzda raporun sunulmas125 126. Acil Mdahale Plan Testleri Bildirim Sreci Testleri Farkl bildirim trleri ve grevlilere eriimin sorgulanmas Bildirim formlarnn yeterliliinin kontrol Mdahale Plan Testleri Masa stnde ekip yeleriyle senaryo analizleri Tatbikatlar ile grevlilerin ve ilemlerin kontrol Analiz yaplan sistemlerin btnlnn korunma kontrol Kant toplama srecinin kontrol rnek raporlama ve ihtiya analizi Mdahale Plan veya Bildirim Srecinde yletirmeler Dzenli Aralklarla Plan Test Edilmelidir126 127. Eitim ve Farkndalk Bildirim sreci ilemezse ihlal olayndan renme gerekleir ! Ekip yeleri ve Alt Grevliler Mdahale Aamalar ve Yntemleri Gizlilik Gereksinimi ve Sorumluluklar alanlarn Eitimi Potansiyel Zaafiyet ve hlal Tanmlar Bildirim Yntemleri Gizlilik Gereksinimi ve Sorumluluklar Ortaklar ve Mteriler Zaafiyet Bildirim Formlar Gizlilik Gereksinimi127 128. Bilgi Gvenlii Teknolojileri128 129. Yeni Nesil Gvenlik Teknolojileri Gvenlik tehditlerinin logaritmik bymesi, tehditlerle baa kmasgereken teknolojilerin sayca artmasnn sonucu olarak ok saydayeni nesil gvenlik teknolojisi olumutur Yeni gvenlik teknolojilerinin byk blm uzun zamandr kullanlanteknolojilerin yetersizliklerinin kapatlmas, ynetimin kolaylatrlmasve yeni nesil biliim altyapsna uygun sistemlerin sorunlarna zmiin gelitirilmitir Bazlar halen kullanlabilirlikten uzak olmasna ramen, ok saydayeni teknoloji gnmz alarnda yerini almtr Birleik Tehdit Ynetim Sistemleri (UTM) Son Nokta Gvenlik Teknolojileri (Endpoint Security) Kablosuz A Saldr Tespit Sistemleri IP zerinden Ses ve Grnt Gvenlii Teknolojileri Mobil Cihazlar iin Gvenlik Teknolojileri 129 130. Kimlik Dorulama ve Yetkilendirme Teknolojileri130 131. Kimlik Dorulama ve Yetkilendirme Kim Giri stiyor, Kimlii Dorumu, Yetkileri Neler ? Kimliklendirme; kullancnn sistemlerde bir kimlie sahip olmas sreci Dorulama; kullanc kimliinin sistemlerdeki geerliliinin dorulanmassreci Yetkilendirme; kullancnn geerlilii dorulanan kimliinde sahip olduuyetkilerin kullancya atanmas sreci Kimlik Dorulama Yntemleri Kullanc Ad / ifre Tek Kullanmlk ifre Cihazlar Akll Kartlar Manyetik Kartlar Sertifikalar Biyometrik Sistemler Gl Dorulama Bildiiniz ey Sahip Olduunuz ey Olduunuz ey 131 132. Merkezi Dorulama ve Yetkilendirme Merkezi Dorulama ve Yetkilendirme Altyaplar Merkezi Kullanc ve Yetki Veritaban LDAP RADIUS TACACS Merkezi Tekil Giri/k (Single Sign On - Single Signout) IDM Kerberos Gnmz Alarndaki Yaklam Kimlik Ynetimi (IDM) Tm Uygulamalar iin Harici Dorulama ile beraber Ortak Kullanc Veritaban, Yetkilendirme ve Dorulama Active Directory / Open Directory / OpenLDAP+Kerberos LDAP Temelli Kullanc, Yetki ve zellikler Veritaban Kerberos ile Dorulama Ynetimi 132 133. LDAP Lightweight Directory Access Protocol (1993) Kullanc ve sistem profilleri merkezi olarak tutulur, LDAP protokolaraclyla dier sunucu ve servislere sunulur. Merkezi dorulama yaplabilmektedir (LDAP v3) Dizin sistemleri tarafndan desteklenmekte ve yaygn olarakkullanlmaktadr. Distinguished Name (DN), Her girdinin tekil dorulaycsdr cn=Fatih Ozavci, ou=Guvenlik, dc=gamasec, dc=net Kullanc bilgilerinin sorgulanmas amal ska kullanlmaktadr Merkezi dorulama uygulamalarnn nemli bileenlerindendir Active Directory Open Directory eDirectory 133 134. RADIUS Remote Authentication and Dial-In User Service (1997) Merkezi olarak Dorulama (Authentication), Yetkilendirme(Authorization) ve Hesap Ynetimi (Accounting) servislerini sunar. Tm kullanc profilleri merkezi olarak tutulur ve UDP temellidorulama servisi ile dier sistemlere sunulur. Uzak Eriim (RAS) ve kablosuz alarda sklkla kullanlmaktadr. leyi : stemci, RADIUS istemcisine balanarak kullanc bilgilerini verir. RADIUS istemcisi kullanc bilgilerini kriptolayarak RADIUS sunucusuna aktarr. RADIUS sunucusu bilgileri dorular, reddeder veya ek bir ilem yaplmasn talep eder. Bilgiler dorulanrsa istemci istenen kaynaa eriebilir. 134 135. Kimlik Ynetimi (IDM) Merkezi Kimlik Ynetimi Hesap Eletirme/Karlatrma Ak Otomasyonu Ynetim Grevi Aktarm ifre Senkronizasyonu Servis zerinden ifre Sfrlama Tekil Giri/k ve Web zerinden Giri Dier Uygulamalar iin Dizin Servisleri Farkl Trdeki Uygulamalar iin Merkezi Dorulama/Yetkilendirme Web Uygulamas Kablosuz A Uygulamalar Sunucu/A Servisi Kullanclar ....135 136. Kerberos MIT tarafndan 1985te gelitirildi. temel bileen var; istemci,sunucu ve KDC (Anahtar Datma Sunucusu) Anahtar Datma Sunucusu (KDC) Dorulama Servisi (AS) Bilet Verme Servisi (TGS)136 137. Merkezi Dorulama Yaklam137 138. Eriim Denetim Teknolojileri 138 139. 139 140. Eriim Denetim Teknolojileri Eriim Denetimi Kim/Ne, Hangi artlarla ve Hangi Amala Eriebilir Eriim Denetimi, yetkilerin yaama geirilmesidir Kimliklendirme, Dorulama ve Yetkilendirme; EriimDenetiminden bamsz iken anlamszdr Eriim Denetimi uygulayan bileen ayn zamanda Yetkilendirmesalamak zorunda deildir Farkl uygulama alanlar mevcuttur letim Sistemi, Harici Uygulamalar, Web Uygulamalar Gvenlik Duvar, Saldr nleme Sistemi, Web Gvenlik Duvar Eriim Denetim Modelleri MAC, DAC, RBAC, RSBAC Eriim Denetimi standartlarca zorunluluk olarak talep edilebilir TCSEC (Orange Book), ITSEC, Common Criteria (ISO 15048)140 141. Eriim Denetim Sistemleri Eriim Denetimi Yaplabilmesi iin gerekenler Yetkilendirme yapan bir sistem Kaynak ile Hedef arasnda bulunmak Veri veya Kaynaa Eriimi Denetlemeyi Hedeflemektedirler Sistem Seviyesinde (Veri, Sre, Sistem Kullanm) letim Sistemi ekirdei letim Sistemi Uygulamalar veya Harici Uygulamalar Web Uygulamalar ... A Seviyesinde (A letiimi, Servisler, Sistemler) Gvenlik Duvar Ynlendirici Saldr nleme Sistemi ...141 142. letim Sistemi - Koruma Halkalar Sistem ekirdei HP/UX ekirdei3 Linux ekirdei 2 Solaris ekirdei 1 OSSEC, LIDS letim Sistemi Bileenleri 0 Temel Bileenler Girdi/kt lemleri, Dk Seviye lemler Cihaz Srcleri A Servisleri, Kullanc Uygulamalar A Servisleri Ofis Bileenleri142 143. ekirdek Seviyesinde Gvenlik ekirdek : Sistem Gvenliinin En nemli Bileeni erkideklerin Gvenlik zellikleri lemci ve Bellek Kullanm Giri/k Ynetimi Sre Ynetimi Kullanc Ynetimi zleme ekirdek Seviyesinde Gvenlik Trusted Solaris (EAL 4+) (Solaris Trusted Extensions) Linux LSM, OSSEC, LIDS, GRSecurity, SELinux, RSBAC IBM Redhat Linux (EAL 4+) Windows 2000 (EAL 4+ ?) Windows Vista/Server 2008 ekirdek Yamalar 143 144. Sistem Seviyesinde Gvenlik Yetkisiz Veri Okuma zinsiz Sistem KapatmaAdministrator/Root ekirdek zinsiz Bellek Alanna Yazma Administrator/RootSistem Bileenlerizinsiz Muhasebe Verisi Okuma Uygulamalar144 145. Sistem Seviyesi Eriim Denetimi Yaplandrmas Sistem ile ekirdek seviyesinde btnleecek bir yapoluturulmal ekirdek yamalar, Ticari yazlmlar, zel iletim sistemleri Kalc olmas gereken eyler ekirdek seviyesinde tanmlanmal Sre Ynetimi, Disk/Dosya Sistemi Ynetimi, lemci Ynetimi,Bellek Ynetimi, Girdi/kt Ynetimi, Kritik Sistem ServisleriYnetimi Kimlik/Yetki tanmlamalarnn alnd sistemlerin yaplandrmasnazen gsterilmelidir Kerberos, LDAP, RADIUS Uygun denetim modeli seilerek, doru biimde uygulanmaldr Kullanlan uygulamalarn eriim denetim sistemi olduu, iletimsistemi bnyesindeki eriim denetim yaps ile rttdorulanmaldr145 146. A Seviyesinde Eriim Denetimi Alar aras veya sistemler aras yaplacak olan eriimlerindenetlenmesi hedefelenmektedir Her OSI katman ayr bir eriim denetim kriteri gerektirir Veri Ba Katman -> MAC Adresi, ARP Sorgu Tr A Katman -> IP Balk Bilgileri Tama/Oturum/Sunum Katmanlar -> Dier Protokol Balk Bilgileri (TCP/UDP/ESP/AH/ICMP Protokol Trleri, Port Bilgisi, ISN/Sra Numaralar) Uygulama Katman -> Pakette Bulunan Veri erii A zerinde eriim denetimi yapan teknolojiler Gvenlik Duvarolarak arlmaktadr, yeni nesil teknolojilerde ek zellikler ile bilinentanmda farkllklar olumakta ve tekil tehdit ynetimikullanlmaktadr Yazlm veya Donanm olarak bulunabilir Cihaza/Yazlma gml bir zellik olabilir (Ynlendirici, Switch, Gvenlik Duvar,Saldr nleme Sistemi, Tehdit Ynetim Sistemi, Web Gvenlik Duvar vb.) 146 147. Gvenlik Duvar Gvenlik duvar (Firewall), a iletiiminde eriim denetimi ilemi iinkullanlan sistemlere verilen genel isimdir A temelli sistemlerde gvensiz alar ile gvenli alar/sistemlerarasndaki iletiimi izole etmek ve belirli artlar altnda eriime izinvermek iin kullanlrlar En temel gvenlik uygulamasdr, irili ufakl birok kurumda farklamalar iin farkl gvenlik duvar uygulamalar kullanlmaktadr Gvenlik Duvar Trleri Statik Paket Filtreleme Dinamik Paket Filtreleme Proxy Tipinde Filtreleme Devre Tipi Filtreleme Uygulama Katmannda Filtreleme A Adres evrimi (NAT, PAT?, Port Ynlendirme?) DeMilitarized Zone (DMZ) 147 148. Gvenlik Duvar leyiistemci Gvenlik DuvarSunucularDinamik Paket FiltrelemeStatik Paket FiltrelemeMAC Adresi Kaynak IP Adresi Hedef IP AdresiTama Katman Protokol (TCP, UDP, ICMP, ESP, AH)PortTama ProtokolSeenekleriDevre Tipi Proxy(Bayrak, Sra No vs.)Veri Uygulama Katman Proxy148 149. Gvenlik Duvar leyiiDMZ172.16.0.0/24Yerel A 192.168.0.0/24D Sistem 212.XXX.4.5123.XXX.4.5 NAT212.XXX.4.5:45352 123.XXX.4.5:80172.16.1.2:80 NAT/PAT212.XXX.4.5:45352 123.XXX.4.5:80172.16.1.2:80:80 NAT212.XXX.4.5:45352 123.XXX.4.7:80172.16.1.2:80 NAT212.XXX.4.5123.XXX.4.5192.168.0.0/24123.XXX.4.9149 150. Gvenlik Duvar Yaplandrmas Kullanm amac dorultusunda doru mimari seilmelidir Gvenlik duvarnn sahip olduu dahili servislerden gerekmeyenlerkapatlmal, eriim engellenmelidir Blgeler aras veya a blmleri gvenlik duvar ile ayrtrlmaldr A yapsna uygun NAT ve DMZ yaplandrmas kullanlmaldr En az dzeyde kural benimsenmeli, eriim politikalar belirlenerekilemler politikalara/gruplara atanmal, gerekmeyen eriimlere izinverilmemelidir Gvenilmeyen alardan gelen bozuk paketler engellenmelidir Kayna zel IP adresleri olan paketler (192.168., 127., 10. ...) Bozuk TCP bayraklar olan paketler Bir oturumun devam olmayan paketler Bozuk/Anlamsz/Geersiz TCP/IP seenekleri tayan paketler Dier gvenlik teknolojileri ile btnlemenin kararl almazelliini kaybettirmemesi salanmaldr Normal-D ve zel eriimler izlenmelidir Kural ve yaplandrma yedekleri dzenli olarak alnmaldr150 151. Servis Kalitesi Ynetimi A seviyesinde Eriim Denetimi, kaynaklara eriim izinlerininynetimi demek deildir; eriime sunulan kaynaklarn hangi orandakullanlabileceini de ynetmektir A geitlerinde uygulanmaldr; utan uca uygulanmadka gerekverim alnamaz Servis Kalitesi Ynetim Kavramlar Type Of Service - Servis Tipi Quality Of Service - Servis Tipine Bal nceliklendirme Class Of Service - Servis Tiplerinin Snflandrlmas ilenceliklendirme Bant Genilii Ynetimi Kuyruk Blmleme ve Trafik Ayrtrma Servislerin veya aretlenmi steklerin nceliklendirilmesi151 152. Servis Kalitesi Ynetimi 152 153. zleme ve Analiz Teknolojileri 153 154. zleme ve Analiz Sistemleri zleme ve Analiz sistemleri, planlanan gvenlik kriterlerinin beklenenbiimde uygulamaya geirildiinin dorulanmasn salamaktadr Tasarm Sorunlar Uygulama Sorunlar Yapsal Sorunlar Olay izleme, denetim, sorun giderme ve ihlal/sorun geridnlerinde kritik nem tamaktadrlar zleme ve Analiz Sistemleri Trleri Sunucu, Sistem ve Yazlm Sreler Kullanc lemleri A A Servisleri A Eriimleri154 155. Sunucu zleme Sistemleri Bir sunucu veya sistem zerinde yer alan, btnleik izleme ve kaytoluturma teknolojileridir letim Sistemi alma Takip Arabirimi Uygulama ve Srelerin Normal D lemlerinin zlenmesi Debug Destei ile Sorun Giderme zelliklerinin Kullanm Dahili Kayt Tutma Sistemi (Event Viewer, Syslog vb.) Harici Kayt Sistemi (Merkezi Sistem, Ticari Kayt Sistemleri vb.) Harici Yazlmlarn Kayt Tutma Sistemi Klavye, Ekran, alma Ortam ve Dier Kayt Mekanizmalar Sunucu zleme ile Hedeflenenler ekirdek ve Temel letim Sistemi Bileenlerinin leyi Takibi Harici Yazlmlarn Takibi Kullanc lemlerinin Takibi Sorun Giderme ve hlal nceleme iin Girdi Hazrlama155 156. Merkezi Sistem Kayd Planlamas156 157. A zleme Sistemleri A zerinde etkin ilemleri, servis ykn ve veri akn izlemeyisalayan yazlmlardr A ve Servis Yk zleme Belirli lem ve Protokollerin Kayt Edilmesi lem Hakknda Bilgi Mesaj letiimin Tamamen Kaydedilmesi Etkin veya Sorunlu Servislerin/A Balantlarnn Takibi A zleme ile Hedeflenenler Gerek Zamanl ve Belirli Sreleri eren A Trafik Yk Takibi Sorun Giderme ve hlal nceleme iin Girdi Hazrlama A Servislerinin Yk ve Kullanm Tipi Takibi Kullanc lemlerinin Takibi A Balants veya Servislerindeki Anlk KesintilerinTakibi157 158. A zleme Yazlmlar158 159. Saldr Tespit Sistemleri Saldr, Normal-D lem ve Yetki hlali izleme/nleme amalolarak kullanlmaktadr Kullanm amalarna bal olarak bir Eriim Denetim sistemi gibi dealabilmektedirler A, sunucu veya belirli bir uygulamaya ynelik olan saldrlar tespitetmek veya nlemek amal kullanlabilmektedir A Temelli (A Geidi veya Dinleme Temelli) Sunucu Temelli Web Uygulamas Gvenlik Duvar Veritaban Uygulamas Gvenlik Duvar Saldr Tespit Yntemleri Tanml Saldr mzalar ile Saptama Tanml Zaafiyet mzalar ile Saptama Normal / Anormal Tanm Ayrtrmas ile Saptama159 160. Sunucu Temelli Saldr Tespit Sistemleri Sistem ekirdei ile btnleerek; srelerin yapm olduklarnormal d ilemleri saptamak ve durdurmak hedeflenmektedir Saldr tanm farkl ekillerde yaplabilir letim sistemi bileenlerinin normal d davranlar Srelerin normal d sonlanmas veya sistem grevi ihlali Kullanc ilemlerinin tanmlanm yetkileri ihlal etmesi Dier saldr/ihlal imzalarnn tanmlanmas letim sistemi ile btnleme ve dier saldr tespit sistemleri ileberaber alma nemlidir letim Sistemleri Aras Farkllklar Platformlar Aras Farkllklar Farkl Saldr Tespit Sistemlerinin Haberlemesi Etkin tepki ynetimi ekirdek seviyesinde salanmaldr160 161. A Temelli Saldr Tespit Sistemleri A zerinde akmakta olan veri trafii iinde genel veya zel normald ilemleri saptamak ve nlemek iin kullanlr Hat i Saldr Tespit Sistemleri (Intrusion Prevention System) Switch zerinde port ynlendirme yaplan sensrler A Yerleimi ve Kriptolama zlenecek Sistemlerin Tm Trafii Tekil Olarak Alnmaldr Kriptolu letiim Sonlandrldktan Sonra zlenmelidir Saldr Saptama Yntemleri Anormal a trafii ve yk oluumu A protokollerinin iinde olas saldr imzalarnn aranmas A protokollerindeki normal d davranlar Saldr nleme Yntemleri TCP/Reset ve ICMP Hata Mesajlar Hat i Kullanmda Paketin Drlmesi Gvenlik Duvar veya Ynlendirici ile Uzun Sreli Engelleme161 162. Uygulama ve Veritaban Gvenlik Duvarlar A ve Sunucu temelli saldr tespit sistemlerinin uygulamalara zeldavranlarda karlatklar zorluklar amak iin kullanlmaktadrlar Web Temelli Uygulama Gvenlik Duvar Saldr Yntemi Tanmlanabilir, Zaafiyet Tanmlamas Zordur Web Uygulamas erii Doru Biimde zmlenebilmeli SSL/TLS Sonlandrmas Sonras Yerleim Salanmal nleme Dahili Olarak Yaplmal Veritaban Gvenlik Duvar Veritaban Sunucusu Yazlm Konusunda Bilgili Olmal SQL Cmlecikleri ve Veritaban Yetkilendirmesi Tanmlanabilmeli Yerleim, Web Uygulamas ile Veritaban Arasnda Olmaldr nleme Dahili Olarak Yaplmal Dier saldr tespit sistemleri ile entegrasyon nleme ve tespit adnaolduka nemlidir 162 163. Saldr Tespit Sistemleri Yerleimi163 164. Saldr Tespit Sistemi Yaplandrmas Saldr tespitine btn olarak baklmal, tm saldr tespit bileenlerive teknolojileri merkezi olarak ynetilebilmeli ve iletiim iindeolmaldr Kriptolu iletiimler izleme ncesinde sonlandrlmaldr Saptanan saldrlar veya normal d ilemler merkezi olarak kaytedilmelidir Saldr nleme iin genel bir davran modeli benimsenmeli veuygulanmaldr Dzenli olarak kural ve saldr imzas veritaban gncellenmelidir A temelli sistemlerde youn veri trafiinin ilemci kullanmnarttraca ve baz iletiimlerin yakalanamayaca dikkate alnmaldr A temelli sistemlerde amaca uygun olarak her bir iletiimnoktasnda farkl sensrler veya saldr tespit bileenlerikullanlmaldr retilen kaytlar ve raporlar dzenli olarak izlenmeli veincelenmelidir Kural ve yaplandrma yedekleri dzenli olarak alnmaldr164 165. Gvenlik A Analiz Sistemleri Yazlmlarn, a cihazlarnn, a servislerinin ve iletim sistemlerinin,yaynlanm gvenlik aklarnn denetimi amal kullanlrlar Gvenlik a tespit yntemleri Bilinen saldr yntemlerinin kullanm Bilinen gvenlik aklarnn kontrol Ska yaplan yaplandrma hatalarnn kontrol Farkl mimarileri ve kullanm alanlar bulunmaktadr A temelli zaafiyet analizi Sunucu temelli zafiyet analizi Web uygulamas temelli zaafiyet analizi Veritaban sunucusu temelli zaafiyet analizi Yaplandrma lgili sisteme zel tarama profilleri oluturulmal Dzenli olarak gvenlik a veritaban gncellenmeli Gvenlik a denetimleri dzenli olarak yaplmal ve ktlarsonucunda zmler retilmeli 165 166. Kriptolama Teknolojileri 166 167. Kriptolama Teknolojileri Kriptolama, gizlilik, btnlk ve inkar edilemezlik iinkullanlmaktadr Kullanm amalar dorultusunda farkl kriptolama algoritmalar vekriptolama trleri bulunmaktadr Veri zeti Algoritmalar (MD5, SHA-1, SHA-256) Simetrik Algoritmalar (DES, 3DES, AES) Asimetrik Algoritmalar (RSA) El Deitirme Protokol (Diffie-Helman) Saysal mza (DSA) Veri ine Veri Saklama (Stenografi) Genel Kullanm Yntemleri Dosya ve Verilerin Btnlnn Kontrol Verilerin ve letiimin Gizlenmesi Alnan Verinin Gnderici Kimliinin Dorulanmas 167 168. Kriptolama Teknolojilerinin Uygulama Alanlar Ak Anahtar Altyaps Saysal Sertifika veya Ak Anahtar Kriptolama ile oluturulan, topluiletiim altyaps Merkezi ak anahtar ynetimi, ak anahtar algoritmalar ve saysalimza kullanm Kriptolu A letiimi Web, E-Posta ve dier a protokollerinin ieriinin kriptolanmas Kriptolu tnel ve tama ortamlar oluturulmas Kriptolu Saklama ve Depolama Kriptolu dosya sistemi, gizli ieriin tanmas, gvenli yedekleme Kimlik Dorulama Kullanc kimliklendirilmesi, saysal imza ile inkar edilemezlik Kriptolu Yazma Verilerin Btnlnn Kontrol Verilerin Geri Dndrlemez Hale Dntrlmesi168 169. Sanal zel A Teknolojileri Gvensiz alar stnden gvenli iletiim kurabilmek iingelitirilmitir Mobil alma Sunucular aras veya alar aras gvenli iletiim Birok farkl protokol ile uygulanabilir, esas ama IP protokolstnde gvenli olarak farkl protokolleri tayabilmektir IPSEC (ESP, AH, IKE/ISAKMP) PPTP, L2TP, MPLS TLS/SSL Alararas yaplabilecei gibi, A-stemci ve stemci-stemcimodelleriyle de uygulanabilir letiim gvenliine bal olarak farkl kriptolama algoritmalarkullanm gerektirebilmektedir Harici dorulama sistemleri ile kimlik tanmlama ve dorulamayaplmaldr169 170. Sanal zel A letiim Protokolleri IPSEC (Internet Protocol SECurity) ESP (Encapsulating Security Payload)Protokol : 50 AH (Authentication Header)Protokol : 51 IKE (Internet Key Exchange Protocol) ISAKMPProtokol : TCP/UDP 500 PPTP (Point to Point Tunneling Protocol) Protokol : TCP 1723 L2TP (Layer 2 Tunneling Protocol)Protokol : 115 SSH (Secure Shell) Protokol : TCP 22 GRE (Generic Routing Encapsulation)Protokol : 47 MPLS (Multi Protocol Label Switching) 170 171. Sanal zel A Yerleimi171 172. Sanal zel A Yaplandrmas Sanal zel A sunucusu gvenlik duvarnn DMZ alannda yeralmal Sanal zel A, gvenlik duvarndan kriptosuz olarak geecekbiimde yaplandrlmal ve yerletirilmeli Kullanc ve istemci kimliklerinin ynetimi iin harici dorulamasistemleri tercih edilmelidir Saysal Sertifika, Tek Kullanmlk ifre, Biyometrik Dorulama lem ve iletiim kaytlar tutulmal, dzenli olarak incelenmeli vesunulan hizmetler ile iletiim trleri karlatrlmaldr Amaca uygun kriptolama algoritmalar tercih edilmelidir, zaafiyetbarndran algoritmalar kullanlmamaldr Tercih edilen istemci yazlmlarnn ek gvenlik zellikleri tamasnazen gsterilmelidir stemci Gvenlik Duvar Anti-Virs Yazlm 172 173. Ak Anahtar Altyaps (PKI) Ak anahtar kriptolamann temel problemi olan ak anahtarndatlmas ve ynetilmesi sorununa zm olarak gelitirilmitir Ak Anahtar Altyaps Ak Anahtar Gizli Anahtar Sertifika Otoritesi Kayt Otoritesi Dorulama Otoritesi Saysal Sertifika (x.509) Sertifika Geersizlik Listesi (CRL) Sertifika Datm Sistemi Sk Kullanm Alanlar S/MIME SSL/TLS Saysal Sertifika ile Dorulama173 174. Ak Anahtar Altyaps (PKI) 174 175. PGP PGP Ak anahtar kriptolama uygulamasdr ; gizlilik, btnlk ve inkaredilemezlik salar Ak Anahtar Altyapsndan farkl olarak Sertifika Otoritesigerektirmez, Gven Webi ile alr Herkes kendi anahtarlarn oluturma, yaynlama ve kendi gvenilikilerini belirleme zgrlne sahiptir Merkezi anahtar sunucusu ve ak anahtar ynetim sistemioluturma imkan mevcuttur OpenPGP standart dorultusunda kriptolama yaplr Kullanm Alanlar Yazl iletiim Disk kriptolama175 176. Btnlk Takip Sistemleri Dosya sistemi zerinde yaplan deiiklikleri takip etmek iinkullanlmaktadr Kritik sistem dosyalarndaki deiimler Verilerin tutulduu hassas dosyalardaki deiimler Arka kap, virs veya truva at nedeniyle oluan deiimler Dosya ve dizinlerin veri zeti tek ynl kriptolama algoritmalar ilealnr ve dzenli olarak karlatrlr MD5, SHA-1, SHA-256 Yaplandrma Veri zetleri ayn dosya sisteminde tutulmamaldr Veri zeti iin birden fazla algoritma kullanlmaldr Dzenli olarak sistem btnl kontrol edilmeli, btnlkdorulandktan sonra veri zetleri gncellenmelidir176 177. SSL ve TLS HTTP protokolnn dz metin olarak veri akn salamas,gvenliin nemli olduu durumlarda tatmin edici deildir. Buamala SSL teknolojisi oluturulmu ve daha sonra yerini TLSebrakmtr SSL (Secure Socket Layer) TLS (Transport Socket Layer) Ak anahtar altyapsn kullanmaktadr Saysal sertifikalar, veri zetleri, sertifika otoriteleri ve saysalimzalar en nemli yap talardr Ama balangta HTTP trafiinin kriptolu olarak akmasn salamakiken zaman iinde farkl protokoller (FTP, IMAP, POP3, SMTP) iinde kullanlabilecek hale gelmitir SSL VPN olarak anlan ve Web zerinden a eriim salayan sanalzel a zm de mevcuttur 177 178. erik Denetim Teknolojileri 178 179. erik Denetim Sistemleri E-Posta, web sayfalar ve dier a iletiimleri zerinde istenmeyenieriin kurum ana girmesini nlenmesi amacyla kullanlmaktadr stenmeyen E-Postalar (Spam, Dosya Ekleri) Zararl Kodlar (Virs, Worm, Truva At, Casus Yazlm) stenmeyen Web Sayfalarnn erii Amalar dorultusunda gruplanrlar Anti-Virs Sistemi Casus Yazlm nleme Sistemi Web Sayfas erik Filtrelemesi Spam nleme Sistemi Amalara gre kullanm ekilleri de deimektedir A Geidi Proxy Geidi Sunucuya Kurulum (E-Posta, Web vb.) stemciye Kurulum179 180. Anti-Virs Sistemleri Kt niyetli yazlmlarn tespiti, temizlenmesi veya karantinayaalnmas iin kullanlrlar Kt niyetli yazlmlarn baz zelliklerine gre imzalar oluturur vebu imzalar tarama yntemiyle alrlar Tahmini olarakta bir kt niyetli yazlm saptayabilmektedirler Normal olmayan sre davran Normal olmayan dosya ierii Sktrlm veya zel formattaki dosyalarn ieriklerini detarayabilmektedirler Sktrma Algoritmalar Dntrme Algoritmalar Kriptolama Algoritmalar Sunucularda, istemcilerde kullanlabildii gibi a geidi olarak yadagvenlik duvar ile beraber alarakta kullanlabilirler Merkezi bir ynetim arabiriminden ynetilmeleri tercih edilmelidir 180 181. Anti-Virs Sistemi Yerleimi 181 182. Anti-Virs Sistemi Yaplandrmas Amaca uygun mimari ve yerleim seilmelidir Virs mzalar Gncellemesi Otomatize olarak yaplmaldr Virs veritabanlar merkezi olarak ynetilebilmeli, izlenebilmelidir Elle virs imzas ekleme imkan bulunuyorsa kullanlmaldr Her kritik noktada bir Anti-Virs bileeni olmaldr Dosya, E-Posta, Web, Proxy sunucular stemcilerin tamam A geidi, gvenlik duvar Sunucu veya stemciye yklenen srmlerinin yaplandrlmasdeitirilememelidir Merkezi ynetim zerinden izlemeler yaplmal, Anti-Virssistemlerinin gncelleme, virs kaytlar ve aldklar nlemler takipedilmelidir 182 183. Casus Yazlm nleme Sistemleri Anti-Virs sistemlerinin casus yazlmlara kar yetersizliklerindendolay gelimi bir teknolojidir Arlkl kullanm istemci sistemleridir Ortak casus yazlm veritabanlar ile tanmlanmam veya normal-d davranan sreleri incelemektedirler Srekli etkin durumda olmalar gerekmektedir, casus yazlmlarbirok cretsiz/deneme srm uygulamalarda bulunmaktadr letim sistemleri ile btnleik almaldr Normal srelerin tannmas Normal ileyite dzeltilemeyen zelliklerin, zel moddadzeltilebilmesi Mimarisel eksiklerin kapatlmas Merkezi ynetim arabirimi ile takip edilmeli, casus yazlmveritabanlar gncellenmeli ve adaki istemciler dzenli olarakdenetlenmelidir 183 184. Spam nleme Sistemleri Gnmzde yaygnlaan ve e-posta trafiinin %80ine ulaabilenistenmeyen e-postalarn ayklanabilmesi amacyla kullanlmaktadr Yerleim E-Posta Sunucusu A Geidi stemci Sistemleri ve E-Posta stemcileri Mimariler Tanmlanan kurallar ile deerlendirme Bayesian ile renme Normal durumlarn matematiksel olasl Normal olmama ihtimalinin hesaplanmas Her iki mimariyi destekleyen sistemler tercih edilmeli, zaman iindeeitilmeli ve zelletirilmelidir184 185. Web Sayfas erik Denetim Sistemleri Kullanclarn gezmi olduklar web sayfalarnn ieriklerinindenetimini ve izlenmesini salamaktadrlar Kelime baznda veya listelenmi sitelerin engellenmesi bazndaalmaktadrlar Sezgisel tanmlama ve nleme, zellikle byk veritabanna sahipyazlmlar tarafndan daha verimli yaplabilmektedir Cinsel, siyasi veya illegal ierik barndran sitelerin engellenmesiamacyla kullanlabilmektedirler Kurum almasn aksatacak ierikler (oyun, elence vb.) Kurumu sorumluluk altna sokabilecek ierikler (siyasi, cinselvb.) erik denetim sistemleri ortak tanmlamalar ile almaktadrlar Listelenen web sitelerinin ve kt niyetli site ierii tanmlarnndzenli olarak gncellenmesi gerekmektedir Web sayfalarnn art niyetli olma ihtimalleri de ierik zerindeyaplan anlam karma ile saptanabilmektedir 185 186. Sreklilii ve Yk Dalm Teknolojileri 186 187. Sreklilii Eriilebilirlik kavramnn en nemli yansmasdr Sunucu, A Servisi, letiim gibi kritik olabilecek her biliim sistemi isrecindeki roln aksatmadan srdrmelidir Tek Noktada Hata Analizi Sreklilii zmleri Kmeleme Hata Tolerans Yk Paylam Yk Dalm Ortak Kaynak Kullanm Sistem kizleme stek Ynlendirme Veri Depolamada Sreklilik RAID Ortak Depolama Kesintisiz G Kayna187 188. Tek Noktada Hata Analizi Her bir a/sistem bileeni iin yaplan, devre d kalmas durumundaoluabilecek aksamann hesap edilmesi, sistem nceliklendirmeKablosuz stemci188 189. Kmeleme Birlikte alabilirlik Ortak Sreler Donanm Kaynaklar Paylam Yk Dalm Yk Datc Bamsz/Baml Sistemler Hata Tolerans Yaps (Failover) Kalp At Verilerin Senkronizasyonu Asl Sistem Yerine Geme 189 190. Dier Sreklilii zmleri A Protokolleri ile Sreklilii BGP DNS ARP Donanm kizleme RAID ift A Kart ift G Kayna Sanal Sistemlerin Kullanm Sanal Sunucu Sanal Makine 190 191. Veri Depolama ve Yedekleme Teknolojileri 191 192. Veri Depolama sreklilii, gizlilik ve btnlk kriterleri dorultusunda verilerindoru biimde depolanmas gerekmektedir Veriler Srekli Eriilebilir Olmal Verilerin Gizlilii nceliklendirilebilmeli Aktarm veya Depolama Ortamnda Veri Bozulmas Eriim Denetimi ve Yetki Ynetimi Dosya Sistemleri Fat32, Ntfs, Ext3, Ext4, XFS, ReiserFS Kriptolu Dosya Sistemleri EFS, Crypto Loopback, File Vault, PGP Disk A Temelli Veri Depolama Dosya Paylam ile Merkezi Depolama (Samba, NFS+, AFS) NAS/SAN zmleri RAID zmleri192 193. Dosya Sunucusu, NAS ve SAN Dosya Sunucusu A Servisleri ile Dosya Paylam Standart letim Sistemi NAS (Network Attached Storage) A Servisleri ile Dosya Paylam Kstl zellikli letim Sistemi SAN (Storage Area Network) Fiber Kanal ile Kullanlr Dosya Sistemini Sunucular Ynetir193 194. RAID ok sayda diskin tek disk olarak altrlabilmesi Kapasite Arttrm Yedekleme Donanmsal Sorunlarn nne Geme Performans Art Yazlmsal veya Donanmsal olarak salanabilir SCSI ve IDE disklerde yaplabilir, harici RAID kart gerekli deildir; isreklilii sz konusu ise RAID kart, SCSI disk ve anlk tak/kardestei tercih edilmelidir RAID Trleri 0 -> ki diskin parite kontrol olmadan tek disk gibi almas 1 -> ki diskten birinin srekli dierine ikizlenmesi 3 -> En az 3 diskin (parite diski sabit olmak zere) pariteli olarak tekdisk gibi almas 5 -> En az 3 diskin pariteli olarak tek disk gibi almas 194 195. Yedekleme Veri yedekleme, felaket veya ihlalden geri dnlerde kritik nem arzetmektedir Kritik veriler kriptolu olarak yedeklenmelidir ve veri zeti alnmaldr Veriler, geri dn kolay ortamlarda ve biimde yedeklenmelidir Merkezi Yedekleme Yaps Yedekleme Sunucusu Dosya Sunucusu / NAS / SAN ile Yedekleme Yedekleme Trleri Tam Yedekleme Artml Yedekleme Farkllk Temelli Yedekleme Yedekleme Ortam Deitirme Yntemleri Basit (Gnlk 5, Aylk 12 Ortam) Bykbaba-Baba-Oul (Gnlk 4, Haftalk 4, Aylk 12 Ortam) Honai Kulesi195 196. stemci Gvenlii Teknolojileri196 197. stemci Gvenlii alanlarn kullanmakta olduu sistemler, en riskli ve mdahalesien zor sistemlerdir Mobil Kullanclar (PDA, Tanabilir Bilgisayar, Cep Telelefonu) Kiisel Bilgisayarlar (Gncel Yazlmlar, Oyunlar) Kullanlan Harici Donanmlar (Tanabilir Disk, Kamera, Kablosuz A) stemci Sistemlerindeki Sorunlar Tanabilir Depolama Ortamlar Mdahaleye Kapal letim Sistemi stemci Yazlmlarnn Yetersizlii ve Sistem Yk Balant Trleri ve Yntemleri Kullanclarn Kstl Bilgisi stemci Gvenliine zmler Gvenlik Teknolojilerinin stemci Srmleri Btnleik stemci Gvenlii Yazlmlar alanlarn Cihazlarna ve Kurumal Aa Eriim Haklarnn Kstlanmas 197 198. Btnleik stemci Gvenlii Yazlmlar ok sayda ama iin birok teknolojiyi barndran tek bir uygulama Gvenlik Duvar Saldr Tespit/nleme Sistemi Spam Koruma Anti-Virs, Casus Yazlm Sistemi Tanabilir Disk Takibi Veri ve letiim Kriptolama Merkezi Ynetim Kurum anda iken dzenli izleme ve inceleme Kurum d almalarda, balant annda inceleme Mobil Cihazlara zel Gvenlik Teknolojileri Cep Telefonu ve El Bilgisayar Gvenlii Kablosuz A ve Bluetooth Korumas nceden tanmlanm alma eklinin kullanc tarafndandeitirilememesi198 199. Kaynaklar The CISSP Prep Guide: Gold Edition IT Governance: A Managers Guide to Data Security and BS 7799 /ISO 17799 Information Security Management Handbook Writing Information Security Policies Security Engineering: A Guide to Building Dependable DistributedSystems Applied Cryptography: Protocols, Algorithms, and Source Code in C Business Continuity Planning: A Step-by-Step Guide 199