Ağ Güvenliği Nedir?
Ağ güvenliği, tüm bilgi işlem kaynaklarının kullanılabilirlik, gizlilik ve bütünlük saldırılarına ve hatalarına karşı korunmasını tanımlamak için kullanılan geniş bir terimdir. Bu, kötü amaçlı yazılımdan koruma, güvenlik duvarları, izinsiz giriş algılama, veri kaybı önleme teknolojisi ve diğer korumaları içerir.
Tehditler, kaynağın gizliliğini, kullanılabilirliğini veya bütünlüğünü etkileyen olası ihlallerdir. Tehditler, hassas verilerin ifşa edilmesini, verilerin değiştirilmesini ve bir hizmete erişimin reddedilmesine neden olmayı içerebilir.
Gizlilik, bütünlük ve kullanılabilirlik (CIA), herhangi bir bilgi güvenliği sürecinin hedefini tanımlayan ana niteliklerdir. Sürece dahil olan birçok strateji ve faaliyet vardır ve her biri şu üç aşamadan birine girer: Önleme, tespit ve müdahale.
Ağ Güvenliğinde Zafiyet Tespiti Nasıl Yapılır?
Ağ, sunucu veya web uygulamalarındaki açıkları tespit edebilmek için bildiğiniz üzere yardımcı pentest araçları kullanılmaktadır. Tüm bu araçlar herhangi bir ağ uygulamasındaki bilinmeyen zafiyetlerin tespitini sağlamaktadır. Eski zamanlarda sistem taramaları ve açıklıklarının tanımlanması oldukça zor ve manuel işlemler gerektirmektedir. Ancak günümüzde pentest araçları sayesinde oldukça kolay bir şekilde taramalarımızı gerçekleştirebiliriz.
1. Metasploit: Rapid7 Metasploit; saldırgan gibi davranmanıza yardımcı olan penetrasyon testi çözümüdür. Çeşitli zafiyetleri keşfeder, güvenlik değerlendirmeleri yapar ve savunma tekniği formüle eder. Ayrıca, Metasploit aracını çevrimiçi tabanlı uygulamalar, ağlar ve diğer farklı sunucularda kullanabilirsiniz.
2. NMAP: Nmap, ağ tarama ve zafiyet tespiti için kullanılan açık kaynaklı bir araçtır. İsmini Network Mapper’in kısaltmasından almaktadır. Ağ yöneticileri nmap’i sistemlerinde hangi cihazların çalıştığını belirlemek, mevcut ana makineleri ve sundukları hizmetleri keşfetmek, açık bağlantı noktaları bulmak ve güvenlik risklerini taramak için kullanırlar. Nmap, yüz binlerce cihazı ve alt ağı kapsayan geniş ağların yanı sıra tek ana bilgisayarı izlemek için kullanılabilir. Nmap sistem bağlantı noktalarına ham paketler göndererek bilgi toplar. Yanıtları dinler ve bağlantı noktalarının örneğin bir güvenlik duvarı tarafından açık, kapalı veya filtrelenmiş olup olmadığını belirler. Nmap üzerinde bulunan modüller sayesinde port taraması, servis keşfi, versiyon ve işletim sistemi tespiti gerçekleştirebilir.
3.Wireshark: Network trafiğinin, bir grafik arayüz üzerinden izlenmesini sağlayan, pek çok zaman hayat kurtaran büyük öneme sahip bir programdır. Uygulamanın kurulu olduğu bilgisayar üzerinden anlık network trafiği izlenebileceği gibi, Wireshark daha önce kaydedilmiş dosyaların incelenmesi amacı ile de kullanılabilir.
4. Aircrack-NG: Algılayıcı, paket sezici, 802.11 telsiz LAN için WEP ve WPA/WPA2-PSK çözücü ve analiz aracından oluşan ağ yazılım takımıdır. 802.11a, 802.11b ve 802.11g trafiği sezebilen bir araçtır. Yani kısacası Wireless Hacking Tools olarak adlandırabiliriz.
5.Nessus: Dünya’da birçok kullanıcısı bulunan güvenlik zafiyeti tarama programıdır. Nessus Professional, Nessus Manager, Nessus Home ve Nessus Cloud sürümleri mevcuttur. Fiziksel, sanal ve bulut ortamlarında güvenlik zafiyetlerinin ve zararlı yazılımların tespitini sağlar. Bilişim altyapılarının güvenlik açısından denetlenmesi ve güvenlik seviyelerinin tespit edilerek açıklıklarının kapatılması gibi çalışmaları kapsayan penetrasyon/sızma testi hizmeti kurumların gerçekleşecek siber saldırılara karşı hazırlıklı ve dayanıklı olmalarını sağlar. Böylelikle penetrasyon testi yapan güvenlikçiler, hacker gibi düşünüp sisteme sızma ve ele geçirme senaryolarını uygulayarak ve saldırganların deneyebileceği tüm yöntemleri deneyerek gerçek bir saldırı ile karşılaşıldığında sistemin açıklık barındıran noktalarının onarılmış ve güvenliği sıkılaştırılmış olmasını sağlamaktadırlar. Penetrasyon testlerinde lisanslı veya açık-kaynak kodlu araçlar kullanılmakta, otomatize tarama araçlarının yanı sıra kuruma özel manuel testler de uygulanarak mümkün olduğunca tüm zafiyetler tespit edilip düzeltilmeye çalışılmaktadır. İç ağ penetrasyon testlerinde kullanılan en önemli araçlardan biri olan Nessus, siber suçlular tarafından kullanılan çeşitli saldırı tekniklerini simüle eden kod parçalarından oluşan pluginleri veritabanında barındırır ve tarama yapılacak cihazlarda uygulayarak sahip oldukları açıklıkları ortaya çıkarır.
6.Social Engineering Toolkit: Sosyal mühendislik saldırılarının İsviçre çakısı olarak adlandırabileceğimiz bir yapıdır. İçerisinde web sitesi saldırısı, “phishing” saldırıları, zararlı medya yaratıcısı, “payload” ve “listener” yaratıcısı, çoklu e-posta saldırısı gibi bir sürü modül bulundurur. Bu yapı Kali Linux ile gelen varsayılan programlar arasındadır.
7. W3AF (Web Application Attack and Audit Framework): Web uygulamaları için kullanılan saldırı ve denetim programıdır. W3AF ile web site analiz ve zafiyet taraması yapabiliriz. Program arayüz ile birlikte kullanılabilmektedir. W3af ile sayısız zafiyet tarama özelliği vardır bulabildiği zafiyet türleri şöyledir: SQL injection detection, SSI detection,
XSS detection, Local file include detection, Buffer Overflow detection, Remote file include detection, Format String bugs direction, Response splitting detection, OS Commanding detection, File upload inside webror vb.
8. Burp Suite: Web uygulaması güvenlik testi için kapsamlı bir platformdur. Web uygulamalarının detaylı sayımı ve analizi için kullanılabilir. Burp, HTTP/S isteklerini kolayca engelleyebilir ve kullanıcı ile web sayfaları arasında aracı görevi görebilir. Kullanıcı web’de gezinirken gerekli ayrıntılar web sitesinden alınır. Bu bilgiler, bir web uygulamasının güvenliği hakkında fikir sahibi olmamızı sağlar.
9. BeEF: The Browser Exploitation Framework’in kısaltmasıdır. Web tarayıcısına odaklanan bir penetrasyon test aracıdır. Mobil istemciler de dahil olmak üzere müşterilere yönelik web tabanlı saldırılarla ilgili endişeler arttıkça, BeEF, profesyonel penetrasyon test cihazının istemci taraflı saldırı vektörlerini kullanarak gerçek bir hedef güvenlik ortamını değerlendirebilmesini sağlar. BeEF, bir veya daha fazla web tarayıcısını kendine bağlayarak ve bunları yönlendirilmiş komut modüllerini başlatmak ve tarayıcı bağlamında sisteme karşı daha fazla saldırı başlatmak için ana sunucu olarak kullanacaktır.
10. SQLmap: Açık kaynak kodlu sql injection açıkları tespit ve istismar etme aracıdır. Kendisine sağlanan hedef web uygulamasının kullandığı veri tabanı sistemine gönderdiği çeşitli sorgular/komutlar ile sistem üzerindeki sql injection tipini tespit eder. Yine kendisine sağlanan parametrelere göre çeşitli bilgileri hedef veri tabanından alır.
Loglama ve SIEM Nedir?
Loglama: Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının (loglarının) belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır. Logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak sağlamaktadır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin kullanıldığı ve atağın nereden start aldığı gibi önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir.
SIEM(Security Information and Event Management): Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur. Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır. SIEM’in çalışma mekanizması şöyledir:
- Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak
- Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek
- Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
- Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak
- SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek
SIEM’in Önemi: SIEM ürünleri gerçek zamanlı raporlama ve güvenlik olayları analizi sağlayarak ağlara yönelik en son tehditleri tespit edebilme imkânını sunarlar. Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır. Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara sızma noktalarının da çoğalmasına neden olmaktadır. Bilişimciler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar. Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor üretirler.