Sistem Yönetiminde Güvenlik Odaklılık

Geçenlerde, Linux Akademi‘nin blogunda sistem yönetimi ve güvenlik odaklılık üzerine şöyle bir yazı paylaşmıştım:

Teknolojik gelişmelerdeki hız ve değişim bu ekosistem içerisinde yer alan herkes için alışkanlıkların değiştirilmesini ve bu yeni gelişmelerin yol açtığı yeni iş yapış şekillerine evrilinmesini şart koşuyor. Bu kaidenin ne oranda hayata geçirildiği ise vizyonun şekillenmesi için bir ölçüt teşkil ediyor. Bu yeni dinamikler neticesinde her geçen gün eskinin klasik sistem yönetim anlayışını bir kenara bırakıp yeni metodolojilere daha çok adapte ediyoruz kendimizi.

Hemen herşeyin “manual” yürüdüğü, kapalı ve rutine bağlanan eski iş yapış şekilleri, yeni disiplinlerin türemesi ile daha çok araç, gerecin kullanıldığı ve herşeyi otomatize etmeye dayalı ve insan faktörünü olabildiğince aza indirgeyerek kendi kendini idame ettirebilen, dirençli ve esnek altyapılar kurgulama ve bunları “yönetme” şekline dönüştü. Durum böyle olunca yani herşey daha basitleşmiş gibi görünürken, bu basitliğin arkasını dolduran dinamiklerin daha komplike hale gelmiş olması, eski sistem yönetimi anlayışını yerle bir ederek, daha çok araştırmaya ve mühendisliğe dayalı başka tür bir sistem yönetimi anlayışına evrildi. -Dünya bu yeni yaklaşıma uzun süre önce geçmiş olmasına rağmen-, bizim ülkemizde de bu yaklaşımın etkileri gün geçtikçe daha fazla gözlemlenebilir bir hal alıyor.


Devamini okuyun: Sistem Yönetiminde Güvenlik Odaklılık


Cagri Ersen tarafından Syslogs adresinde yayınlandı. | Permalink | Etiketler:

21 Nisan 2015

Posted In: Genel, security

Etiketler:

Two-Factor Auth Destekli OpenVPN Server Kurulumu

IT altyapılarının güvenilirliğini ve bağlı olarak sürekliliğini sağlamak üzere uygulanması gereken süreç disiplinlerinde kritik data içeren mecralara erişimlerde sıkı güvenlik prosedürleri izlenmesi gerekiyor. Bu anlamda özellikle PCI-DSS ya da ISO 27001 standartlarına tabii olan ya da olmak isteyen firmaların, kendi networklerine “dışarıdan” erişim ihtiyacının bulunması durumunda implemente edecekleri VPN çözümlerinin, bahsi geçen güvenlik standartlarına uygun olması gerekiyor. Örnek olarak PCI-DSS uyumluluğu için kullanılan VPN çözümünde kimlik doğrulama işlemi en az iki aşamalı olarak gerçekleştirilmek durumunda. Bu zorunluluk PCS-DSS V3’de şu şekilde tarif edilmiş durumda:

Implement Strong Access Control Measures 8.3 – Incorporate two-factor authentication for remote network access originating from outside the network by personnel (including users and administrators) and all third parties, (including vendor access for support or maintenance). Note: Two-factor authentication requires that two of the three authentication methods (see Requirement 8.2 for descriptions of authentication methods) be used for authentication. 8.2 Authentication methods – Something you know, such as a password or passphrase – Something you have, such as a token device or smart card – Something you are, such as a biometric.

Bu tanıma göre, networkünüze uzaktan erişim sağlayacak her türlü bağlantı için yapılacak kimlik denetimlerinde madde 8.2’de belirtilen metodlardan en az ikisinin kullanılması gerekiyor. Günümüzde yaygın olarak kullanılan SSL VPN çözümlerinde PKI altyapısı kullanılarak, bir username üzerinden key ibraz etmek sureti ile kimlik denetimi gerçekleştirilip bağlantı kuruluyor. Ancak bu tek yönlü kimlik denetimi, anlaşıldığı üzere yeterli değil. Bu nedenle kullandığınız VPN çözümünün username/ password (ya da key) ibraz etmeye ek olarak token ya da bir biometric denetim mekanizmasını destekliyor olması gerekiyor. Biometric denetim mekanizmalarının oldukça sınırlayıcı ve maliyetli çözümler olduğunu düşünürsek, iki yönlü doğrulama için username + token mekanizmalarını birlikte kullanmak konunun pratik çözümü olacaktır. İşte bu konudan hareketle bu yazıda, bir SSL VPN implementastonu olan OpenVPN ve Google Authenticator kullanılarak two-factor authentication destekleyen bir VPN sunucusu kurulumundan bahsedeceğim. En nihayetinde halihazırda kullandığınız OpenVPN altyapınıza yazıda anlatıldığı şekli ile google authenticator entegrasyonu da yapabilirsiniz.


Devamini okuyun: Two-Factor Auth Destekli OpenVPN Server Kurulumu


Cagri Ersen tarafından Syslogs adresinde yayınlandı. | Permalink | Etiketler: ,

30 Kasım 2014

Posted In: *nix, Genel, installation, openvpn, security

Etiketler: ,

Portspoof ile Network Scanner’ları Yanıtlamak

Portspoof, bir network scanner uygulaması kullanarak sunucular üzerinde çalışan servisleri tespit etmek isteyen saldırganların işlerini zorlaştırmak ve tarama sonucunu manupule etmek sureti onları yanıltmak üzere geliştirilmiş enteresan bir uygulamadır.

Bildiğiniz gibi network scanner uygulamalarının uzaktaki bir sistemde çalışan servisleri tespit etmeleri için kullandıkları bir takım teknikler vardır. Bu tekniklerden en tipik olanı ise TCP’nin üçlü el sıkışma prensibinden hareketle uzak sunucunun tüm portlarına (ya da ilgilenilen portlarına) birer SYN paketi göndermek ve alınacak cevaba göre ilgili servisin mevcudiyeti ya da durumu ile ilgili karara varmaktır. Örnek olarak üzerinde bir web sunucusu çalıştığını bildiğiniz uzaktaki bir sistemin 80. portuna bir SYN paketi gönderirseniz ve uzak sunucudaki bu servis çalışır durumdaysa -ayrıca herhangi bir engelleme yoksa- cevap olarak SYN+ACK paketi alırsınız. Bu şekilde ilgili servisin çalışır vaziyette olduğu uzaktan tespit edilir ve örneğin nmap ilgili port’u OPEN olarak bildirir. Aynı şekilde gönderilen SYN paketine RST paketi dönerse, uzak sunucuda ilgili portu dinleyen bir servis olmadığı anlaşılır ve scanner uygulaması durumu CLOSED olarak değerlendirir. Eğer uzak sunucu bir firewall üzerinden korunuyorsa ve SYN paketini gönderdiğiniz porta erişim izniniz yoksa ilgili paket -genel olarak- drop edilir bu nedenle de geriye herhangi bir paket döndürülmez. Bu durumda da network scanner uygulaması durumu FILTERED olarak bildirir, bu şekilde de uzaktaki sistemin bir firewall’a sahip olduğunu tespit edebilirsiniz.


Devamini okuyun: Portspoof ile Network Scanner’ları Yanıtlamak


Cagri Ersen tarafından Syslogs adresinde yayınlandı. | Permalink | Etiketler: ,

30 Ekim 2014

Posted In: *nix, Genel, ipucu, portspoof, security, tools

Etiketler: ,

Ubuntu Kurulumundan Sonra Ev Dizinini Şifrelemek

Ubuntu işletim sistemini kurarken kullanıcıların karşılaştığı ekranlardan birisinde kullanıcının ev dizininin şifrelenmesini isteyip istemediği sorulur. Bu işlem, küçük bir miktar performans kaybı karşılığında kullanıcınızın ev dizinini kullanıcı parolası girilene kadar okunamaz biçimde şifrelenmesini ve kullanıcının oturumu açık olduğu müddetçe şifrelenen dosyaların içeriğine düzgünce erişilebilmesini sağlar. Örneğin kullandığınız bilgisayarınızın çalınması durumunda bilgisayarınızı çalan kişi(ler) sizin kullanıcı parolanızı bilemeyecekleri için size ait dosyaların içeriklerine asla erişemeyecektir.

Bu faydalı seçeneği kurulum sırasında işaretlememeyi tercih ederseniz bütün dosyalarınız herhangi bir özel işleme gerek kalmadan erişilebilir halde duracaktır. Eğer bu seçeneğe kurulumdan sonra ihtiyaç duyarsanız Ubuntu’nuzu tekrar baştan kurmak zorunda değilsiniz; tek yapmanız gereken aşağıdaki adımları takip etmek.

    1. Bilgisayarınızda geçici bir süreliğine yönetici haklarına sahip ikinci bir kullanıcı yaratın. Bunun sebebi, ev dizini şifrelenecek olan kullanıcının kendi kendine bu komutu çalıştıramıyor oluşu.
    2. Ev dizini şifrelenecek olan kullanıcınızın oturumunu tamamen kapatıp bir önceki adımda yarattığınız kullanıcı hesabına giriş yapın.
    3. Yeni yarattığınız kullanıcının yönetici haklarından faydalanarak aşağıdaki komutu çalıştırın. Bu komut, bilgisayarınıza ev dizininizi şifrelemenizi sağlayacak olan paketleri kurar.
      sudo apt-get install ecryptfs-utils cryptsetup
    4. Yeni kullanıcı hesabınız şifreleme işlemini başlatmak için aşağıdaki komutu çalıştırın.
      sudo ecryptfs-migrate-home -u kullanici_adi
    5. Enter tuşuna bastığınız zaman sizden ev dizini şifrelenecek olan kullanıcının (az önce yarattığınız kullanıcının değil) parolasını yazmanız istenecek. Parolanızı yazdıktan sonra ev dizininizin boyutuna bağlı olarak süresi uzayabilecek olan şifreleme işlemi başlayacak.
    6. Burası önemli: Şifreleme işlemi bittikten hemen sonra bilgisayarınızı yeniden başlatmadan kendi kullanıcı hesabınızla oturum açın. Eğer herşey yolunda gittiyse karşınıza her zamanki dosyalarınız çıkacak ve bir pencerede size şifreleme işlemiyle ilgili bir bilgi verilecek. Bu penceredeki butona tıkladığınızda size 32 karakter uzunluğunda bir parola verilecek, bunu güvenli bir yere not edin. Bu parola sayesinde dosyalarınızı gelecekte gerekirse elle kurtarabileceksiniz.
    7. Bilgisayarınızı yeniden başlatın. Eğer herşey eskisi gibi yolunda gidiyorsa /home/ dizini altında yaratılan kullanıcı hesabınızın yedek dizinini ve ilk aşamada yarattığınız geçici hesabı güvenle silebilirsiniz.

 

4 Eylül 2014

Posted In: Gezegen Yazıları, home directory, Kubuntu, linux, security, ubuntu

DNSSEC Nedir?

DNSSECDNSSEC sayısal verinin dijital imza ile doğrulanmasına dayanan, bilişim güvenliğini tamamlayan teknolojilerdendir. DNS sisteminin güvenlik eksiklerini tamamlamak için geliştirilmiştir. DNSSEC doğrulamasının yapılabilmesi için kök alandan son alan adına kadar tüm basamakların DNSSEC uyumlu olması gerekmektedir. Kökün imzalanmış olması, güven zincirinin ön şartıdır (.tr henüz DNSSEC uyumlu değil). DNSSEC mekanizmasında trafik kriptolanmaz, ziyaret edilen alan adının işaret ettiği IP adreslerinin doğruluğu kanıtlanır.

DNSSEC son kullanıcının kullandığı alan adının doğru web sayfasına veya servislere karşılık gelen IP adresine ait olduğunu güvence altına alır. Bu Internet’in tüm güvenlik problemlerini çözmez fakat kritik bir bölümün güvenliğini kontrol altına alır. SSL (https) gibi diğer teknolojilerle birlikte kullanıldığında güvenliği iyileştirilmiş bir platform sağlar.

DNSSEC yapısı, KSK “Key Signing Key” (uzun süreli anahtar) ve ZSK “Zone Signing Key” (kısa süreli anahtar) olmak üzere iki anahtar çiftinden oluşur. Yeterli süre ve veri toplanarak kriptografik anahtarlar çözümlenebilir. DNSSEC‘de asimetrik veya açık anahtar kriptografisi kullanılmaktadır ve saldırganlar kaba kuvvet saldırısı ile anahtarları imzalayan anahtar çiftinin gizli yarısını ele geçirilebilir. DNSSEC bu tür saldırılara karşı sistemi güçlendirmek için rutin DNS kayıtlarını imzalarken ZSK anahtar çiftini, imzaları doğrularken KSK anahtar çiftini kullanır. ZSK düzenli olarak değiştirilerek saldırılara karşı sistem güçlendirilir. KSK anahtar çifti daha uzun aralıklarla yenilenir (güncel uygulamada yıldar bir). KSK ZSK‘yı, ZSK DNS kayıtlarını imzalar. KSK sadece alan adındaki DNS kayıtlarını doğrulamak için gereklidir. KSK‘nın bir örneği DS “Delegation Signer” kaydı biçiminde bir üst alan adına kaydedilir. Üst alan adı, alt alandan gelen DS kayıtlarını kendi ZSK‘sı ile imzalar.

DNSSEC açık anahtar altyapısı (Certificate Authority) ICANN bünyesinde barındırıyor. Fakat KSK‘ları imzalayan kök sertifikalar gönüllü katılımcılar tarafından yönetiliyor. Küresel kabul için kök anahtarların yönetiminin kimde olduğu önemli bir nokta. ICANN katılımcıların kimler olacağına müdahale etmiyormuş ve ticari kararların bu seçimi etkilememesi gerektiğine inanmaktaymış.

PKI altyapısını kullanan sistemlerde yaşanan güvenli anahtar değiş tokuşu problemine, DNSSEC çözüm sağlayabilecek yetenekte. Yakın gelecekte kriptolu e-posta gönderimi gibi konularda standart haline geleceğini düşünüyorum. Bu konuda “Şifreli e-posta neden yaygınlaşmıyor?” yazım ilginizi çekebilir.

ozcan.com NS suncularını, bu yazıyı yazdığım tarihte DNSSEC uyumlu hale getirdim. BURAYA tıklayarak, kontrol aracını deneyebilirsiniz (hatalı sonuç verebiliyor, sayfayı yenilemek gerekebilir birkaç kez).

Hamdi ÖZCAN – ozcan.com

14 Mayıs 2014

Posted In: dnssec, güvenlik, icann, ksk, lkd, pki, security, teknik, tr, zsk

DNSSEC Nedir?

DNSSECDNSSEC sayısal verinin dijital imza ile doğrulanmasına dayanan, bilişim güvenliğini tamamlayan teknolojilerdendir. DNS sisteminin güvenlik eksiklerini tamamlamak için geliştirilmiştir. DNSSEC doğrulamasının yapılabilmesi için kök alandan son alan adına kadar tüm basamakların DNSSEC uyumlu olması gerekmektedir. Kökün imzalanmış olması, güven zincirinin ön şartıdır (.tr henüz DNSSEC uyumlu değil). DNSSEC mekanizmasında trafik kriptolanmaz, ziyaret edilen alan adının işaret ettiği IP adreslerinin doğruluğu kanıtlanır.

DNSSEC son kullanıcının kullandığı alan adının doğru web sayfasına veya servislere karşılık gelen IP adresine ait olduğunu güvence altına alır. Bu Internet’in tüm güvenlik problemlerini çözmez fakat kritik bir bölümün güvenliğini kontrol altına alır. SSL (https) gibi diğer teknolojilerle birlikte kullanıldığında güvenliği iyileştirilmiş bir platform sağlar.

DNSSEC yapısı, KSK “Key Signing Key” (uzun süreli anahtar) ve ZSK “Zone Signing Key” (kısa süreli anahtar) olmak üzere iki anahtar çiftinden oluşur. Yeterli miktarda veri toplanarak kriptografik anahtarlar çözümlenebilir, bu yüzden DNS kayıtları otomatik olarak belirli aralıklarla yeniden imzalanır. DNSSEC‘de asimetrik veya açık anahtar kriptografisi kullanılmaktadır ve saldırganlar kaba kuvvet saldırısı ile anahtarları imzalayan anahtar çiftinin gizli yarısını ele geçirilebilir. DNSSEC bu tür saldırılara karşı sistemi güçlendirmek için rutin DNS kayıtlarını imzalarken ZSK anahtar çiftini, imzaları doğrularken KSK anahtar çiftini kullanır. ZSK düzenli olarak değiştirilerek saldırılara karşı sistem güçlendirilir. KSK anahtar çifti daha uzun aralıklarla yenilenir (güncel uygulamada yıldar bir). KSK ZSK‘yı, ZSK DNS kayıtlarını imzalar. KSK sadece alan adındaki DNS kayıtlarını doğrulamak için gereklidir. KSK‘nın bir örneği DS “Delegation Signer” kaydı biçiminde bir üst alan adına kaydedilir. Üst alan adı, alt alandan gelen DS kayıtlarını kendi ZSK‘sı ile imzalar.

DNSSEC açık anahtar altyapısı (Certificate Authority) ICANN bünyesinde barındırıyor. Fakat KSK‘ları imzalayan kök sertifikalar gönüllü katılımcılar tarafından yönetiliyor. Küresel kabul için kök anahtarların yönetiminin kimde olduğu önemli bir nokta. ICANN katılımcıların kimler olacağına müdahale etmiyormuş ve ticari kararların bu seçimi etkilememesi gerektiğine inanmaktaymış.

PKI altyapısını kullanan sistemlerde yaşanan güvenli anahtar değiş tokuşu problemine, DNSSEC çözüm sağlayabilecek yetenekte. Yakın gelecekte kriptolu e-posta gönderimi gibi konularda standart haline geleceğini düşünüyorum. Bu konuda “Şifreli e-posta neden yaygınlaşmıyor?” yazım ilginizi çekebilir.

ozcan.com NS suncularını, bu yazıyı yazdığım tarihte DNSSEC uyumlu hale getirdim. BURAYA tıklayarak, kontrol aracını deneyebilirsiniz (hatalı sonuç verebiliyor, sayfayı yenilemek gerekebilir birkaç kez).

Hamdi ÖZCAN – ozcan.com

14 Mayıs 2014

Posted In: dnssec, güvenlik, icann, ksk, lkd, pki, security, teknik, tr, zsk

Cloud Computing Security & Risks

“The interesting thing about cloud computing is that we’ve redefined cloud computing to include everything that we already do. I can’t think of anything that isn’t cloud computing with all of these announcements. The computer industry is the only industry that is more fashion-driven than women’s fashion. Maybe I’m an idiot, but I have no […]

29 Kasım 2009

Posted In: bilgi teknolojileri, Bulut, cloud computing, ENISA, Gezegen, risks, security, SME, standartlar

Güvenli İnternet Hakkında Devamlı Anlatılan 5 Yanlış

PC Magazinin yapmış olduğu bir anketin sonuçlarına göre ISP’lerde dahil bir çok kullanıcı virüslerin etkilerini tam anlamıyla anlamış değiller. İşte internette güvenli olacağınız düşündüğünüz 5 yanlış, 1- Bilgisayarımda önemli şeyler tutmuyorum, bu nedenle güvenlik hakkında kaygılanmama gerek yok. Uzun zaman önce bu doğru idi, ancak günümüzde doğruluğunu yitirmiştir. Hybrid wormlar ve virüsler, Blaster ve hidrag […]

10 Mart 2009

Posted In: güvenlik, Hacker, linux, security, Sistem, virüs

WP Twitter Auto Publish Powered By : XYZScripts.com