Ağ yönetimi Bilgi güvenliği
Bilgisayar Ağlarına Genel Bakış
Ağ kavramını tanımlamak
En az iki bilgisayarın birbirine bağlanması ile oluşturulan ağ, iki amaca yönelik geliştirilmiştir. Bunlardan birincisi farklı bilgisayarlar arasında veri paylaşımıdır. İkinci amaç ise kaynakların ortak kullanımına yöneliktir. Ağ yetenekleri sayesinde yazıcılar, depolama üniteleri, işlemci gücü gibi kaynakların farklı makineler tarafından ortak kullanılması sağlanmaktadır.
Ağ tarihçesi ve gelişimini açıklamak
Dünya çapında ortaya konan ilk ağ ARPANET (Amerikan Gelişmiş Savunma Araştırmaları Dairesi Ağı)’tir. Daha sonra DARPA (ABD Savunma Bakanlığı İleri Araştırma Projeleri Ajansı) adını alan ağ, soğuk savaş sırasında geliştirilmiş, dünyanın ilk çalışan paket anah-tarlama ağı olmasının yanı sıra, İnternetin de atasıdır. 1972 yılında XEROX firması tarafından geliştirilen Ethernet teknolojisi ve yine aynı yıllarda ortaya konan TCP/IP protokoller modeli internetin bilgi ağlarının gelişiminde önemli rol oynamıştır.
Ağ çeşitlerini açıklamak
Bilgi ağlarını büyüklüklerine göre, topoloji yani cihazların bağlantı konumlarına göre ve cihazların bağlantı ortamlarına göre üç farklı kategoride çeşitlendirmek mümkündür. Büyüklüklerine göre ağlar Kişisel Alan Ağları, Yerel Alan Ağları, Şehirsel Alan Ağları, Geniş Alan Ağları, Sanal Özel Ağlar ve Kampüs Alan Ağları gibi sınıflara ayrılmaktadır. Topolojilerine göre ağlar ise ortak yol, halka, örgü ağaç ve yıldız topolojileri olarak sıralanır. Bağlantı şekillerine göre ağ çeşitlerinde en önemli ağ bağlantı türü Ethernet’tir. Bunun dışında ATM, FDDI ve Andıçlı Halka gibi teknolojiler de mevcuttur.
Ağ katmanlarını tanımlamak
Bir bilgi ağı, kendine ait kurallar çerçevesinde haberleşmeyi sağlamak üzere tasarlanmıştır. Bu kuralların tamamı protokol adı altında standartlaştırılmıştır. Bir verinin gönderici cihazdan alıcı cihaza gidişine kadar kullanması gereken protokoller, TCP/IP modeline göre dört katmanda toplanmıştır. Bu katmanlar Uygulama Katmanı, Taşıma Katmanı, Ağ Katmanı ve Ağ Erişim Katmanıdır. Her bir katmanın farklı bir görevi vardır ve birbiri üzerine inşa edilen protokoller ile çalışmaktadır.
Kablosuz ağları açıklamak
İki farklı kablosuz ağdan bahsetmek mümkündür. Bunlardan ilki olan Wi-Fi, genellikle daha kısa mesafeli
iletişim için evlerde, ofislerde kullanılan ağ türüdür. İkindi tür ise GSM operatörleri tarafından daha uzak menzillerde veri haberleşmesine imkân sağlayan ağ türüdür. Günümüzde üçüncü nesil ve dördüncü nesil iletişim ağları kullanılmaktadır. 2009 yılı itibariyle 40 Gbps Ethernet ve 100 Gbps Ethernet hızları kullanımı mümkün olup standartlarıyla ilgili çalışmalar devam etmektedir. IP adresi belirlemek için Ağ özelliklerine girmeli ve IPv4 yazan kısımdaki adresi bulmalısınız. Bilgisayarınızın o anda kullanmakta olduğu IP adresi bu alanda görüntülenir. ep telefonunuzun kullanma kılavuzu ya da üretici web sitesinden bu bilgiye erişebilirsiniz. Ayrıca GSM operatörünüz de size bu konuda destek verebilir
- Ağ Yönetimi ve SNMP
Ağı oluşturan bileşenleri ifade etmek
Bilgi ağları oluşturulurken birçok farklı donanımdan faydalanılmaktadır. Bunlardan en önemlisi, üzerinde en az bir işletim sistemine sahip bilgisayarlardır. Bilgisayarların ağ ortamına dâhil olabilmeleri için kablolu ya da kablosuz ağ kartına ihtiyaçları bulunmaktadır. Ağ, veri iletimini gerçekleştirebilmek için tekrarlayıcı, göbek cihaz, köprü, anahtar cihaz, modem ve yönlendirici gibi ara cihazlara da ihtiyaç duymaktadır. Bu cihazlar sayesinde veriler, en uygun yolu izleyerek gönderen bilgisayardan, alıcı bilgisayara doğru yol almaktadırlar.
Ağ yönetim araçlarını tanımlamak
Ağ yönetim araçları, ağın sağlıklı çalışması için gerekli belirlemeleri ve izlemeleri yapacak olan araçlardan oluşmaktadır. Bu araçların asıl amacı, ağda kesinti olmadan önce arıza çıkarabilecek kısımları tespit etmek ve önlem almaktır. Ağ yönetim araçları, bir ağ cihazında ya da yönlendiricide ağ kartının arızasını belirlemek, sistemi izlemek, kaynak dağılımı için ağ trafiğini izlemek, yönlendirme tablolarındaki hızlı değişiklikleri belirlemek, istatistiklerin izlenmesi ve ağa izinsiz girişleri tespit etmek olarak sınıflandırılabilir.
Ağ yönetim çeşitlerini tanımlamak
Ağ yönetim çeşitleri, Uluslararası Standartlar Teşkilatı tarafından oluşturulan ağ yönetim modeline göre beş farklı kategoride ağ yönetimini sınıflandırılmaktadır. Bunlar Performans Yönetimi, Hata Yönetimi, Yapılandırma Yönetimi, Hesaplama Yönetimi ve Güvenlik Yönetimidir.
Ağ yönetim alt yapısını açıklamak
Ağ yönetim alt yapısı, yönetici öge, yönetilen cihaz ve yönetim protokolleri alt bileşenlerinden oluşur. Standart İnternet Yönetim Yapısına göre verilerin tamamı Yönetim Bilgi Üssünde toplanmaktadır. Ağ cihazlarında çalışan araç uygulamalar yardımıyla toplanan veriler, ağ yöneticisi tarafından değerlendirilerek gerekli önlemler alınır ve işlemler yapılır.
SNMP protokolü işlemlerini tanımlamak
Basit Ağ Yönetim Protokolü olan SNMP, araç uygulamalara istek göndermek ve gelen istekleri Yönetim Bilgi Üssündeki ağaç yapısında tutmak esasıyla çalışmaktadır. Üç farklı sürümü olan SNMP, günümüzde en yaygın kullanılan ağ yönetim protokolüdür. Google firması tarafından geliştirilen mobil işletim sistemi, birçok akıllı telefon ve tablette kullanılmakta olan Android işletim sistemidir. Dijkstra Algoritması, küresel bir yönlendirme tablosu oluşturma algoritması olarak kullanılmaktadır. Tüm ağ hakkında bilgi sahibi olmak ve iki nokta arasındaki en az maliyetli yolu hesaplama işlemini, tüm ağ üzerinde gerçekleştirmek üzere kullanılmaktadır. Ağ yönetim alt yapısının üç bileşeni, yönetici öge, yönetilen cihaz ve yönetim protokolleridir. SNMPvl’in, araç uygulamadaki bir değere ulaşmak için istek göndermesini sağlayan komut “GET” komutudur. Tablodaki bir sonraki değeri okumak için kullanacağı komut ise “GET-NEXT” komutudur
- Simetrik Şifreleme ve Mesaj Gizliliği
Klasik şifreleme algoritmalarını açıklamak
Klasik algoritmalar, günümüz modern şifreleme algoritmalarına temel teşkil etmiştir. Geçmişten günümüze kullanılan şifreleme algoritmalarının açıkları ve eksiklikleri tespit edilerek yeni ve modern şifreleme algoritmaları geliştirilmiştir. Daha çok veri karıştırma yöntemleri ile çalışan klasik algoritmalardan bazıları Sezar şifreleme, Affine şifreleme, Monoalfabetik şifreleme ve Vigenere şifreleme olarak sayılabilir.
Monoalfabetik:her bir harfe karşılık farklı bir harf eşleştirilir
Vigenere: parola vardır, metindeki her A harfine bir bu paralo gelir, diğer karakterler ise sezarda olduğu gibi ötelenir.
Dizi ve blok şifreleme arasındaki farkları sıralamak
Simetrik yöntemler dizi ve blok olmak üzere ikiye ayrılır. Dizi simetrik şifreleme yöntemleri bit temelli şifreleme ve çözme yapar. Bir bitlik açık metni yine bir bitlik şifrelenmiş metne dönüştürür. Blok şifreleme yöntemleri ise belirli uzunlukta bloklara bölünmüş açık metni belirli sayıda birbirini takip eden karışıklık ve yayılma işlemlerini kullanarak şifrelenmiş metne dönüştürür. Dizi şifreleme algoritmaları bit tabanlı oldukları için şifreleme ve çözme fonksiyonları basit ve hızlıdır. Dizi şifrelemede şifreleme ve çözme fonksiyonlarında kullanılacak anahtar dizilerinin her iki kullanıcıda da aynı olması gerekmektedir. Dizi şifrelemede kullanılan anahtar dizisi üreten fonksiyonlar başlangıç durumunun bilinmesi halinde aynı diziyi üretmek üzere tasarlanmışlardır.
Tek zamanlı blok
Örnek: ɮifreleme fonksiyonu: yi = xi + ki mod 2 ±özme fonksiyonu: xi = yi + ki mod 2
Rc4 dizi şifreleme algoritması. Ron rivest 1987
Rastgele sayılar arasındaki farkları açıklamak
Kriptolojide rastgele sayıların büyük bir önemi vardır. Rastgele sayılar, gerçek, sözde ve kriptolojik olarak güvenli olmak üzere üç gruba ayrılır. Rastgele sayılar tekdüze dağılıma sahip ve bağımsız olmalıdır. Bağımsızlık, bir sonraki adımda üretilecek rastgele sayının önceki adımlarda üretilen sayılar ile ilişkisinin olmaması demektir. Para atışı sonucu elde edilecek rastgele bir sayının tura veya yazı gelme olasılığı önceki atışlardan bağımsız olarak %50’dir.
PDES ve AES şifreleme yöntemlerinin çalışma prensiplerini tanımlamak
En yaygını olarak bilinen ve kullanılan simetrik blok şifreleme algoritmaları DES ve AES’dir. DES toplam
16 tur veya iterasyondan oluşan Feistel şifreleme yöntemi üzerine kurulmuştur. DES 56 bitlik gizli anahtar ve 64 bitlik blok uzunluğuna sahiptir. 56 bitlik gizli anahtar uzayının günümüzde yetersiz kalmasından dolayı güvenilir olarak kabul edilmez. AES algoritması 2000’li yılların başında DES’in yerine kabul edilmiştir. 128, 192 ve 256 bit olmak üzere 3 farklı uzunlukta gizli anahtar kullanılabilmektedir. Standartlarda kabul edilmiş birçok blok şifreleme modu vardır. Örnek olarak ECB, CBC, CFB, OFB ve CM modları gösterilebilir.
Şifrelenen metin alıcı tarafından çözülerek açık metin elde edilir. Çözme fonksiyonu ile çözülen şifrelenmiş metin açık metni vermelidir. Eğer şifreleme fonksiyonu bire-bir değilse, alıcı elindeki şifreli karakterin hangi açık karaktere karşılık geldiğini bilemez. Eğer şifreleme fonksiyonu örten değilse, şifreli bir karakterin karşılığı açık karakter olmayacağından, alıcı bu karakterin karşılığı olan açık karakteri bilemez. Bu nedenle şifre çözmenin doğru çalışması için şifreleme fonksiyonları bire-bir ve örten olmalıdır.
Sezar örnek: ɮifreleme fonksiyonu: y = x + 3 mod 26 ±özme fonksiyonu: x = y – 3 mod 26
Affine örnek: ɮifreleme fonksiyonu: y = a * x + b mod 26 ±özme fonksiyonu: x = a-1 (y – b) mod 26
Sezar şifreleme algoritmasında açık metinde yer alan her harf alfabede üç ötelenir. Buna göre “hello” mesajını şifrelediğimizde elde edilen şifreli mesaj “KHOOR” olarak bulunur. Affine şifrelemede anahtarın iki bileşeni vardır. 23 harfli alfabe kullanıldığından, anahtarın b bileşeni 23 farklı değer alabilir. Anahtarın a bileşeni ise 23 ile aralarında asal olan ve 23den küçük pozitif sayılar olabilir. Bu durumda a ise 22 farklı değer alabilir. Buna göre toplam 23×22 = 506 farklı anahtar kullanılabilir. DES, 3DES, AES ve IDEA simetrik algoritmalarına ek olarak Twofish, Blowfish, CAST ve Serpent gibi örnekler verilebilir
4 .Açık Anahtar Şifreleme ve Mesaj Doğrulama
Güvenlik servislerinin neler olduğunu ve ne sağladıklarını açıklamak
Simetrik şifreleme yöntemleri uzun yıllardır bir mesajın gizli bir şekilde iletilmesinde kullanılmaktadır. Fakat teknolojik gelişmelere paralel olarak mesaj bütünlüğü, kimlik doğrulama ve inkâr edilemezlik gibi bazı güvenlik servislerini sağlayacak ve kullanıcılar arasında gizli anahtar dağıtılması gibi hizmetleri yerine getirebilecek özelliklere sahip değildir. Açık anahtar şifreleme yöntemleri ve prensipleri, simetrik yöntemlerin bu açıklarını kapatmak amacıyla ilk olarak 1976 yılında ortaya konmuştur.
Simetrik ve açık anahtar şifreleme yöntemleri arasındaki farkları ifade etmek
Günümüze kadar açık anahtar şifreleme prensiplerini sağlamak için, tam sayıyı çarpanlarına ayırma, ayrık logaritma ve eliptik eğriler olmak üzere üç farklı yöntem sunulmuştur. Açık anahtar şifreleme yöntemlerinde simetrik yöntemlerin aksine her kullanıcının bir açık ve bir gizli olmak üzere iki anahtarı vardır. Açık anahtar şifreleme algoritmaları şifreleme ve dijital imza doğrulamada kullanılır. Açık anahtar şifreleme yöntemlerinin hepsi tek yönlü fonksiyonları yapı taşı olarak kullanmıştır
En yaygın kullanılan açık anahtar şifreleme algoritmalarını tanımlamak
En yaygın açık anahtar şifreleme algoritmaları RSA, Diffie-Hellman Şifreleme Algoritması ve ElGamal Şifreleme Sistemi olarak sayılabilir. RSA ve Diffie-Hell-man Şifreleme Algoritması tam sayıyı çarpanlarına ayırma, ElGamal Şifreleme Sistemi ise ayrık logaritma üzerine kurulmuştur. RSA ve ElGamal algoritmalarında kullanılan anahtar uzunluklarının, yeterli seviyede güvenlik sağlamak için 1024 bit veya daha uzun olmaları gerekmektedir.
Rsa örnek: Şifreleme fonksiyonu: y = xe mod n Çözme fonksiyonu: x = yd mod n
Dijital imzaların nasıl oluşturulduğunu ve kullanıldığını açıklamak
Günlük hayatta bir mesajın kim tarafından yazıldığının göstergesi olarak mesajın altına imza atılır. Bir kişinin imzasının sadece kendisi tarafından atıldığı kabul edilir. Gerçek imza ve sahte imza arasındaki farklar kriminoloji metotları yardımı ile tespit edilebilmektedir. Kişilerin imzaları birbirinden farklıdır ve ömür boyu aynı imzayı kullanmak zorundadırlar. Benzer şekilde dijital imzalar, elektronik ortamda oluşturulan mesajların kime ait olduğunu kanıtlamak için kullanılır. Dijital imza bir açık anahtar şifreleme algoritmasıdır. Kullanıcı, göndermek istediği mesajın arkasına dijital imzasını ekleyerek alıcıya ulaştırır. RSA ve ElGamal gib hem şifreleme yapan hem de dijital imza oluşturan yöntemlerin yanında DSA gibi sadece dijital imza oluşturmak amacıyla tasarlanmış algoritmalar da mevcuttur. Temel prensip olarak kullanıcı kendi gizli anahtarını kullanarak imzasını oluşturur ve alıcı, mesaj sahibinin açık anahtarını kullanarak kimliğini doğrular. Dijital imza algoritmaları girdi olarak hem mesajı hem de kullanıcının gizli anahtarını kullanır. Gizli anahtar her seferinde aynı olmasına rağmen mesaj farklı olacağı için kullanıcının dijital imzası ıslak imzanın aksine her seferinde değişir.
Mesaj özetinin nasıl oluşturulduğunu ve kullanıldığını açıklamak
Bir mesajın içeriğinin değiştirilip değiştirilmediğinin tespit edilmesi mesaj bütünlüğü olarak adlandırılır. Özet fonksiyonlar, bir mesajın içeriğinin yetkisi olmayan kişiler tarafından değiştirilip değiştirilmediğini kontrol etmek ve dijital imzaların daha kısa uzunlukta üretilmesi amacıyla kullanılır. Özet fonksiyonları tek yönlü fonksiyonlar üzerine kurulmuştur. Özet değeri bilinen bir mesajın içeriğini elde etmek imkânsızdır. Özet fonksiyonlarının farklı uzunluktaki mesajlar için sabit uzunlukta mesaj özetleri üretmeleri gerekmektedir. İyi bir özet fonksiyonu, mesajda tek bir karakterin değişmesi durumunda bile çok farklı özetler üretmelidir
Ronald Rivest tarafından geliştirilen MD4 – md5 sha hepsi md4 üzerine inşa edilmiştir.
5. Anahtar Dağıtımı ve Kullanıcı Kimlik Doğrulama
Simetrik şifreleme yöntemi ile anahtar dağıtımını ifade etmek
Bir bilgisayar sisteminde kullanıcı sayısının artmasıyla birlikte kullanıcılar arasında güvenli bir iletişim kurmak için gerekli gizli anahtarların yönetimi içinden çıkılmaz bir hal alır. Günümüz şartlarında kullanıcıların çok farklı coğrafi konumlarda bulunmalarından dolayı gizli anahtarların fiziki yollar aracılığıyla ulaştırılması imkânsız hale gelmiştir.
Merkezi olan ve olmayan anahtar dağıtımı ile kullanıcılara gizli anahtar ulaştırma yöntemleri mevcuttur. Her iki yöntemde de kullanıcılar sahip oldukları ana anahtarlar sayesinde gizli oturum
anahtarlarını simetrik şifreleme algoritmaları kullanarak gizli bir şekilde karşı tarafa iletebilmektedirler.
Açık anhtar şifreleme yöntemi ile anahtar dağıtımını açıklamak
Açık anahtar şifreleme yöntemleri ile kullanıcılar arasında oturum anahtarının paylaştırılması mümkündür. Kullanıcı ilk olarak gizli bir iletişim oluşturmak için gerekli oturum anahtarını üretir. Sonra iletişime geçmek istediği kullanıcının açık anahtarını kullanarak oturum anahtarını şifreler ve karşı tarafa iletir. Mesajı alan kullanıcı, kendi gizli anahtarını kullanarak mesajı çözer ve oturum anahtarını elde eder. Bundan sonra kullanıcılar arasındaki iletişim, oturum anahtarı kullanarak simetrik şifreleme algoritmaları ile devam eder Sertifikaları tanımlamak ve sertifika kullanımını açıklamak Kötü niyetli kişilerin aradaki adam ve yeniden gönderme saldırılarına karşı dijital sertifikalar kullanılır. Sertifika bir açık anahtarı, bir kişi, uygulama veya servis ile ilişkilendirmek için kullanılan bir dijital dokümandır. Sertifikalar ülkelerin sorumlu kamu ve güvenilir özel kurumları tarafından yönetilir. Kerbe-ros parola-tabanlı bir ağ kimlik doğrulama sistemidir. Kullanıcıların elde ettikleri biletleri kullanarak her seferinde parola girmeleri gereksinimini ortadan kaldırmıştır. Parola yerine sertifika kullanarak da doğrulama yapabilir. En yaygın olarak dördüncü ve beşinci sürümleri kullanılmaktadır.
Tek kullanımlık parola ve biyometrik kimlik doğrulama yöntemlerini tanımlamak
Kullanıcıya kimlik doğrulama sistemi tarafından doğrulama yapıldıktan sonra onun için belirlenmiş haklar ölçüsünde kullanım izni verilmelidir. Uzun yıllardır yaygın olarak kullanıcı adı ve parola yöntemi kullanılmaktadır. Bu yöntemde sisteme giriş yaparken kullanıcı adı ve geçerli parola girilmesi gerekmektedir. Kullanıcılar, parolalarını unutmamak için bir kâğıda yazmak, parolası içerisinde kendi adını veya doğum tarihini kullanmak gibi yöntemlerle kötü niyetli kişilerin işlerini kolaylaştırırlar.
Kullanıcıların bu kullanım hatalarını ortadan kaldırmak için tek kullanımlık parola ve biyometrik yöntemler ile kimlik doğrulama yöntemleri geliştirilmiştir. Kullanıcının sahip olduğu bir donanım veya yazılım aracı ile elde ettiği tek kullanımlık parolayı belirlenen zaman aralığında sisteme girerek kimlik doğrulaması gerçekleşti-rilebilmektedir. Bu yöntemde kullanıcının bilgisayarı ile sunucunun bilgisayarı senkronize olmalıdır. Sunucuya gelen tek kullanımlık parolanın aynısı sunucu tarafından da üretilmelidir. Biyometrik yöntemler kullanıcıların fizyolojik ve davranışsal özelliklerini kullanarak doğrulama yapar. Biyometrik özelliklerin her insan için farklı olmasından dolayı kullanıcıları birbirinden ayırt etmek mümkündür
6. İletim Katmanı ve Kablosuz Ağ Güvenliği
İnternet ortamındaki güvenlik sorunlarını tanımlamak
Verinin İnternet gibi korumasız bir ağ üzerinden iletilmesi önemli güvenlik tehditlerine sebep olur. Bu güvenlik tehditlerinden birisi ağın dinlenmesidir ve gizli kalması gereken bilginin kötü niyetli kişilerin ellerine geçmesi anlamına gelir. Diğer bir tehdit ise ağ üzerinden gönderilen verinin bütünlüğünün koruna-mamasıdır. Bu durum veri kaybına yol açar. Önlenmesi en zor tehditlerden birisi sahte istekler ile sistemi meşgul etmedir ve bu tehdit gerçekleşirse sistemin belli bir süre hizmet vermesi engellenmiş olur. Başkasının kimliğine bürünme şeklinde kendini gösteren diğer bir tehdit kimlik doğrulama işlemini tehlikeye atar. Çözümü kriptografik yöntemlerdir.
Güvenli soket katmanı ve iletim katmanı güvenliği kavramlarını açıklamak
Güvenli soket katmanı veri bütünlüğünün sağlanması, gizlilik ihlallerinin giderilmesi ve kimlik doğrulama işleminin en iyi şekilde tamamlanabilmesi için kullanılan bir güvenlik uygulamasıdır. Şifreleme yöntemleri, dijital imzalar ve sertifikalar kullanarak görevini yerine getirir. İki katman halinde yerleşen dört protokolün bir araya gelmesi ile oluşmuştur. Bu protokoller kayıt protokolü, el sıkışma protokolü, şifre değiştirme protokolü ve uyarı protokolüdür. İletim katmanı güvenliği, güvenli soket katmanının İnternet standart sürümü şeklinde düşünülebilir. Bir takım farklarla beraber güvenli soket katmanının özelliklerini taşır. Temel amacı iletişimde bulunan iki taraf arasında mesaj bütünlüğünün ve gizliliğin sağlanmasıdır
HTTPS ve SSH kullanım alanlarını tanımlamak
HTTPS, HTTP ile SSH’ın birleştirilmesi ile Web tarayıcı ve Web sunucu arasındaki iletişimin güvenli olması amacıyla oluşturulmuştur. HTTPS,URL adresi, doküman içeriği, tarayıcı formların içeriği, çerezler ve HTTP başlığının içeriğini şifreler. SSH uzaktan oturum açmada ortaya çıkma ihtimali olan tehditlerden korunmak için tasarlanan bir protokoldür. SSH tarafından güvenli bir bağlantı, kimlik doğrulama ve şifreleme algoritmaları kullanılarak gerçekleştirilir. Aynı zamanda veri sıkıştırma, dosya transferi ve dosya kopyalama hizmetlerinde güvenlik sağlar.
IEEE 802.11 ve IEEE 802.11i kablosuz ağ standartlarını tanımlamak
IEEE 802.11 kablosuz yerel alan ağları için oluşturulan standartları belirler. Kablolu yerel alan ağlarındaki işlevselliğe ulaşmak için sağlanması gereken hizmetleri tanımlar. Hizmetlerden üçü yerel alan ağına erişimi ve gizliliği tanımlamak için kullanılır. Diğer altı hizmet ise istasyonlar arasında hizmet veri birimlerinin teslimatı için oluşturulmuştur. Kablolu ağlar fiziksel bağlantı gereksinimleri ile bir derece güvenlik sağlayabilmektedirler. Buna karşılık kablosuz ağlar aynı gereksinime sahip olmadıklarından güvenlik tehditlerine daha açık durumdadırlar. 802.11 kablosuz ağ standardı güvenlik açısından çeşitli zayıflıklar içerir. 802.11i standardı bu güvenlik zafiyetlerini gidermek için geliştirilmiştir. Kimlik doğrulama, erişim denetimi, mesaj bütünlüğü ve gizlilik gibi hizmetleri sunar.
Kablosuz uygulama protokolü ve kablosuz iletim katmanı güvenliği kavramlarını açıklamak
Evrensel ve açık standart olan kablosuz uygulama protokolü, kablosuz telefonlar çağrı cihazları gibi cihazların İnternet hizmetlerine ulaşması için geliştirilmiştir. Mümkün olduğunca var olan İnternet standartlarına dayanmaktadır. Mobil cihazların donanım yeteneklerinin daha az olmasından kaynaklanan birtakım sorunları vardır. Bu sorunları çözebilmek için kablosuz uygulama protokolü; XMLe bağlı kalan bir biçimlendirme dili, mobil ve kablosuz terminaller için uygun küçük tarayıcı ve hafif iletişim protokolü yığını gelişmiştir. Kablosuz iletim katmanı güvenliği protokolü mobil cihazlar ile WAP ağ geçidi arasında güvenlik hizmetleri sunar. Bu protokolün temeli Web tarayıcı ile sunucu arasında güvenli bağlantı oluşturmayı sağlayan TLS protokolüdür.
Gizlilik bir mesajın sadece bu mesaja erişim hakkı olan kullanıcılar tarafından okunabilmesidir. Mesaj bütünlüğü ise mesajın içeriğinin yetkisiz kişilerce değiştirilememesidir. Kimlik doğrulama ise mesajı oluşturan kişinin kimliğinin doğrulanmasıdır. Bu baytın 1 ve 2 değerleri almasının farklı anlamları vardır. Bu değerlere göre ya uyarı verilir ya da bağlantı kesilir. İlk baytın değeri 1 ise uyarı verilir, 2 olması durumunda ise SSL hemen bağlantıyı sonlandırır. Örnek saldırılar arasında Telnet oturumuna müdahale, Tel -net vasıtasıyla sunuculara saldırılar, parolaların elde edilmesi ve dinleme gibi saldırılar sayılabilir.
7. E-posta Güvenliği
E-posta güvenliği kavramını ve ihtiyacını açıklamak
Günümüzde iletişimin ve haberleşmenin temel altyapısını oluşturan e-posta, yaygınlığı ve sağladığı kullanım kolaylığı ölçüsünde bilgisayar virüslerinin yayılması, veri hırsızlığı ve ücretsiz reklam ve pazarlama dünyası için de çok çekici bir platform haline gelmiştir. Her e-posta kullanıcısı, gerek kişisel gerek kurumsal boyutta sayısız oltalama, kandırmaca, zararlı kodların yerleşmesine olanak sağlayan saldırının kurbanı olma sıkıntısını yaşamakta, bunun gerçekleşmesi durumunda maddi ve manevi zarar görmektedir. E-posta güvenliği artık bir gereklilik ötesinde iletişimin olmazsa olmazı konumuna gelmiş ve hem e- posta kullanıcıları hem de e-posta sağlayıcıları boyutunda zararlı iletişimin önünü kesecek önlemlerin alınmasını sağlayacak yöntemleri beraberinde getirmiştir.
E-posta hizmet sağlayıcıları, sunucu boyutunda gerek yazılım gerek donanımsal koruma profilleri geliştirmekte ve bunları hizmete sokmaktadırlar. Ayrıca ortak savunma mekanizmaları araştırılmakta ve spam ile zararlı kod içerikli e-postaların kullanıcılara ulaşmadan engellenebilmesi için çalışmalar yapılmakta, yöntemler ortaya konulmaktadır. Son kullanıcılara ulaşan istenmeyen e-postalar, yasal e-postalardan, son kullanıcı hizmeti veren programlar sayesinde filtrelenmeye çalışılmaktadır. Tüm bu çabanın en temel çıkış noktası, oluşabilecek hasarın sadece kullanıcı boyutuyla kalmayıp tüm ağ trafiğinde sorun yaratmasıdır. Zira günümüz trafiğini etkileyen ve büyük maddi kayıplara neden olan büyük ölçekli saldırıların çoğunlukla zararlı e-postalarla yayılmış kodlar tarafından yapıldığı gözlenmektedir
Sunucu tarafından spam e-posta yollanmasına neden olan güvenlik açıklarını betimlemek
Spam istenmeyen e-postalar için geliştirilmiş bir terimdir. SMTP protokolüne uygun her mesaj başlangıçta, istenen sunucu kullanılarak gönderilebilmekteydi. Bu sayede spam e-postalar hem sunucuların hem de kullanıcıların başını ağrıtan önemli bir sorun haline gelmiştir. Spam yanında zararlı kod içeren e-postaların da yaygınlaşması sonucu sunucularda alınacak temel önlemler, spam dağıtımının engellenmesine yönelik olmuştur. SMTP geçişi çoğu spam üreticisinin kullandığı bir tekniktir. Bu teknikle herhangi bir e-posta sunucusundan istenen kimse adına e-posta göndermek olasıdır.
İşte bu açığın fark edilmesiyle sunucular SMTP geçişi engellediklerinde oldukça büyük çaplı bir spam trafiğinin de önünü kesmiş olmaktadırlar. Temelde bu engelleme, ilgili SMTP sunucuda tanımlanmamış e- posta göndericilerinin gönderdikleri e-postaları çöpe atmak yoluyla olmaktadır. Ayrıca bunun bir adım ötesinde SMTP sunucuların bağlı olduğu alan sunucularında da aynı mantıkta kontrollerin yapılması, spam e- posta üreticilerinin ve göndericilerinin işini zorlaştırmaktadır. Sonuçta e-posta göndermeden önce gönderenin belirlediği çıkış ve dönüş noktaları bir güvenlik testinden geçirilmekte ve bu testi geçemeyen e-postaların ömürleri İnternet ortamına çıkmadan sonlandırılmaktadır.
Spam filtrelerin temel çalışma prensiplerini açıklamak
İstenmeyen e-postaların her zaman sunucularda önünün kesilmesi olanak dâhilinde olmadığından, oluşacak spam trafiğinin sonuçta alıcıların SMTP sunucularına hatta alıcının e-posta ortamına ulaşması kaçınılmazdır. İşte bu noktada da spam güvenliğinin sağlanması için gelen e-postaları belirli ölçütlere göre test eden programlar geliştirilmekte, spam postaları ile kullanıcının buluşması engellenmek istenmektedir. Spam üreticileri de bu ölçütlerin neler olduğunu bildiklerinden sürekli değişik yöntemler denemekte, oluşturdukları spam e-postanın kullanıcının eline geçmesini ve kullanıcının bu e-postayı açıp okumasını, içerdiği kodları çalıştırmasını istemektedir. İşte böylesi karşılıklı atakların süregittiği bir ortamda statik yöntemli programlarla spam ile başa çıkılmasının olanaksızlığı karşısında sürekli öğrenen ve sisteme kendini adapte eden spam filtre algoritmaları denenmekte ve geliştirilmektedir. Ayrıca dünya çapında spam trafiğiyle başa çıkabilmek için spam ürettiği düşünülen noktalar kara listelere alınmakta ve buralardan gelen e-postalar spam olarak nitelendirilmektedir.
PGP e-posta aşamalarını açıklamak
E-posta güvenliği denilince sadece zararlı ve istenmeyen e-postaların sonucunda oluşacak maddi manevi zararların engellenmesi yanında, yasal e-postanın gönderici ile alıcı arasındaki hareketi boyunca da e-postanın güvenliğinin sağlanması ilkesi de göz önünde bulundurulmalıdır. İletişim güvenliği temelde dört ana güvenlik servisini sağlamalıdır. Bunlar,
* Mesaj gizliliği
*Kimlik doğrulama
*Mesaj bütünlüğü
*İnkâr edilememe
olarak tanımlanmaktadırlar. PGP tüm bu güvenlik koşullarını bir bütün halde sağlayan ya da istenilen güvenlik koşulunu diğerleri olmadan gerçekleştiren bir yöntemdir. Burada PGP’nin e-posta gönderme gibi bir amacı olmadığını, sadece SMTP üzerinden gönderilen e-postanın güvenliğini sağlayan bir mekanizma olduğunu hatırlamakta fayda vardır. E-posta gönderilirken gizlilik, simetrik şifreleme algoritmaları ve ilgili e-postaya özgü üretilmiş bir anahtarla sağlanmaktadır. Kimlik doğrulama ise PGP’nin yapısal mekanizması içerisinde e-postaya eklenen sayısal imza ile sağlanmaktadır. Bu sayısal imza ise asimetrik şifreleme mekanizmasını kullanır. Kullanıcıların gizli ve açık anahtarları, anahtar sağlayıcı servis sunucuları vasıtasıyla dağıtılmakta ve böylece tam güvenlik sağlanabilmektedir. Mesaj bütünlüğü ve inkâr edilememe de yine dijital imzanın getirdiği güvenlik mekanizmalarıyla sağlanmaktadır. PGP ile mesaj yollanırken istenirse sadece dijital imza kullanılabileceği gibi istendiğinde sadece mesaj da şifrelenebilmektedir.
Temel e-posta güvenlik gereksinimlerini listelemek
E-posta trafiğinin temelde iki türlü güvenlik sorunu vardır. Birincisi istenmeyen e-posta trafiği yüzünden oluşan sistemsel güvenlik açıkları, ikincisi de alıcı ile e-posta göndericisi arasında e-postanın tüm hareketi boyunca bu e-postanın alıcıya ve göndericiye zararı dokunacak aşamalardan korunmasıdır. Spam e-posta trafiği gerek uç noktalarda gerekse ağ içerisinde sunucularda alınabilecek önlemlerle azaltılabilmektedir. Ancak bu trafik ile başa çıkabilmek için çok yetkin, iyi düzeyde protokol bilgisine sahip ağ mühendislerine ihtiyaç vardır. Spam filtreleme ise başlı başına değişik araştırma konularının bir araya geldiği ortamıdır.
E-posta güvenliğinin başka bir temel ilkesi de uçtan uca güvenliğin sağlanmasıdır. Özel hayatın gizliliği temelde e-posta trafiğinin de olmazsa olmaz ilkesidir ve bu gizliliğin sağlanması için PGP gibi yöntemlere ihtiyaç duyulmaktadır. Tüm güvenlik ilkelerinin gerçekleştiğine ikna olan kullanıcılar e-postayı yaşamının bir parçası haline getirebilmektedirler. Her işletim sisteminin kendine göre sertifika görüntüleme yöntemi bulunmaktadır. Windows işletim sistemine ait bir bilgisayarda Chrome İnternet tarayıcı varsa burada menüsünden ayarlar tıklanmalıdır. Gelişmiş ayarları göster tıklandığında açılacak HTTPS/SSL paragrafı altında Sertifikaları Yönet butonu, bilgisayara yüklenmiş sertifikaların görüntülenmesini sağlar.
Eğer SHA1 algoritması 128 bitlik özet çıkarabiliyorsa bu algoritma en fazla 2128 = ^3.4 * 1034 değişik metnin farklı özetini çıkarabilmektedir. Asimetrik şifrelerde anahtar uzunluğu 1.024 bit veya 2.048 bit boyutlarına çıkmaktadır. Bu uzunluktaki anahtarlarla uzun metinlerin blok şifrelenmesi ve şifrelerinin çözümü ancak çok güçlü işlemcilere sahip bilgisayarlarla gerçekleşebilir. Kişisel bilgisayarlarda bu işlemler çok uzun zaman
alacaktır ve işlem gücü yeterli olmayacaktır.
8. Sistem Güvenliği
Sistem güvenliği ile ilgili temel kavramları açıklamak
Bir kuruluşun bilişim sistemlerini güvenli hale getirebilmek ve sistem üzerindeki bilgilerin güvenliğini sağlayabilmek için sistem cihazlarının herhangi bir tehdit altında olup olmadığı ile ilgili tehdit analizinin yapılması gerekmektedir. Eğer sisteme karşı bir tehdit varlığı söz konusu ise bu tehdide karşı gereken güvenlik önlemleri alınmalıdır.
Bilişim sistemlerinin ve altyapısının güvenliği ve güvenilirliği sisteme karşı yönelen risklerden dolayı tehdit altındadır. Güvenliği sağlamak son derece zordur. Çünkü sisteme sızmak isteyen bir saldırganın kötü niyetli işlemlerini gerçekleştirmek için tek bir zayıflık bulması yeterliyken, sistemi savunan birimlerin ise sistem güvenliğini sağlamak için sonsuz sayıda olası güvenlik açıklıklarına karşı önlemler alması gerekir. Sistem güvenliğinde gizlilik, bütünlük ve erişilebilirlik olarak sıralanan temel üç unsur büyük önem arz etmektedir. Bilginin yalnızca erişim hakkı tanınmış kişiler tarafından ulaşılabilir olması, bilginin bütünlüğünün ve doğruluğunun temin edilmesi ve yetkili kullanıcıların ihtiyaç duydukları bilgiye her an erişebilmelerinin garanti altına alınması bilgi güvenliğinin temelini oluşturur.
Kötü niyetli saldırganlar tarafından güvenlik açıklarından yararlanarak oluşturulan güvenlik tehditleri sistem üzerinde güvenlik riski oluşturur. Bu riski minimum düzeye indirmek ve hatta ortadan kaldırmak için güvenlik politikası oluşturularak birtakım mekanizmalar geliştirilir. Güvenlik politikası, sistemde ortaya çıkan tehditleri azaltan ve bu tehditler karşısında sistemin zarar görmesini engelleyici karşı önlemler alır.
Sistem güvenliği için olası tehditleri analiz etmek
Ele geçirme, uydurma, kesinti ve değişiklik olarak bilinen dört tehdit sınıflandırması birçok sistem üzerinde görülen ortak tehditleri kapsamaktadır. Araya girme (snooping), bilginin izinsiz bir şekilde ele geçirilmesidir ve bir gözetleme biçimi olarak değerlendirilir. Pasif bir tehdit biçimidir; tehdit eden varlığın sistemin bilgisini ve dosyalarını taraması veya iletişimini dinlemesi örnek olarak verilir. Değişikliğe uğratma veya modifikasyon, yetkisiz olarak bir bilginin değiştirilmesidir. Gözetleme tehdidinin aksine modifikasyon aktif bir tehdit biçimidir. Bir varlığın bilgiyi değiştirmesinden kaynaklanır.
Ağ üzerinde iletilen verinin, değiştirilerek alıcı tarafa ulaşması aktif olarak hattı dinleme ve hattaki bilgiyi değiştirme olduğundan modifikasyon tehdidi sınıfına girer. Sahtecilik veya olduğundan başkası gibi görünmek, bir varlığın başkasının kimliğine bürünerek sistemde yetkisi olmayan servislerden faydalanması ya da sisteme erişerek sistemin doğru çalışmasını engellemek istemesi, aldatma ve zorla el koyma tehdit sınıfları içinde değerlendirilen bir tehdit çeşididir. İdeal olarak sistemin güvenlik mekanizmasının hassas ve
kesin olması gerekir. Bütün sistem güvenlik mekanizmalarının bileşenleri güvenli olmayan durumları
engellemek için aktif bir şekilde çalışmalıdır. Hâlihazırda güvenli olan sistem durumları için güvenlik mekanizmasının herhangi bir işlem yaparak sistemin kaynaklarını boşa kullanması istenmeyen bir durumdur.
Güvenlik hedeflerini açıklamak
Güvenlik politikası, izin verilen ve verilmeyen işlevler ile ilgili kurallar bütünü iken, güvenlik mekanizması ise bir güvenlik ilkesinin uygulanması için izlenen yöntem, araç veya prosedür olarak tanımlanır. Bir güvenlik politikasının “güvenli” ve “güvenli olmayan” eylemlerinin tanımları göz önüne alındığında, güvenlik mekanizmaları sisteme karşı oluşabilecek saldırıyı önleyebilir, bu saldırıyı tespit edebilir veya sistemi saldırıdan kurtarabilir. Saldırıları önleme, tespit etme ve saldırılardan kurtarma sistem güvenliği için oluşturulan politika için güvenlik hedeflerini sınıflandırır. Burada en üst düzey güvenlik hedefi, sistemi gerçekleştirilen saldırıdan kurtarmaktır.
Bilgi güvenliği yaşam döngüsü içindeki temel adımları tanımlamak
Belirlenen sistem güvenlik politikası ve mekanizmasının sistem içinde tasarlanıp uygulanması gerekir. Sistem güvenliği belirlenen hedefler kapsamında sürekli izlenmeli ve takip edilmelidir. Güvenlik mekanizmasının tasarımı aşamasında oluşan istenmeyen hatalar, tehdit eden varlıklar tarafından oluşturulan yeni tehditler veya tehdit eden varlığın sistem üzerinde güvenlik politikasının kapsamadığı yeni bir güvenlik açığı bulması durumunda bilgi güvenliği yaşam döngüsü tekrar takip edilmeli, bilgi güvenliği politikası ve mekanizması yeni tehditlere karşı savunma amacıyla güncellenmelidir.
Yazılım ve Donanım güvenliğindeki temel tehditler için 5 alınacak önlemleri açıklamak
Sistem, yazılım ve donanım bileşenleri ile birlikte bütün bir şekilde düşünülmelidir. Bir bilgisayar sisteminde sistem güvenliğini tehdit eden zararlı programlar virüsler, solucanlar, casus yazılım, Truva atı vb. olarak yaygınca günlük hayatta karşımıza çıkmaktadır. Virüsler yayılabilmek için bir kullanıcının virüsü diğer kullanıcılara isteyerek ya da istemeyerek göndermesini beklerler, fakat solucanlar ise böyle bir dış etki beklemeden kendisini çoğaltmaya ve yeni sistemlerin kullanıcılarına erişmeye çalışırlar. Truva atının hedefi sistem üzerinde belli kanallar açarak programcısına, bulaştığı sistemi izlemesini veya kontrol etmesini sağlayan bir ortam yaratır.
Güvenlik duvarı yazılımı daha önceden tanımlanmış kurallar ışığında ağa gelen ve giden trafiği izleyen ve ağdan gelebilecek olası tehditleri durduran bir ağ güvenliği sistemidir. Yedekleme programları, sistem üzerinde oluşacak bir saldırı ya da bir güç kaybı neticesinde olası veri kayıplarının önüne geçmek için kullanılan yazılımlardır. Entegre devre tasarımı sırasında entegre devre yongasının içine istemeden bir hata sonucunda ya da entegre devre tasarımcısı tarafından kasıtlı olarak yerleştirilen, devrenin yerine getirmesi gereken işlevlerin dışında zararlı işlevler yapan donanım değişikliklerine “donanımsal Truva atı” denir. Kullanıcının bu zararlı donanım değişikliklerini tespit etmesi oldukça zor bir iştir. Donanım Truva atı, yazılımda karşımıza çıkan Truva atı yazılımları gibi programcısına kullanıcının sistemine erişebilme imkânı sunar
Güvenli bir sisteme ulaşmak için gerekli kriterler ve ilgili standartları kullanmak
ISO 27001 Bilgi Güvenlik Yönetim Sistemi (BGYS), bir bilgi sisteminin güvenli biçimde çalışması için gerekli yönetimsel gereksinimleri açıklayan ISO 27000 standartlar ailesinin en iyi bilinen standardıdır. Bu standart kısaca ISO 27001 BGYS olarak bilinir. Bir kuruluşun hassas, gizli kalması gereken bilgilerini (ticari bilgi, kullanıcı bilgisi vb.) yönetmek için sistematik bir yaklaşım sunarak bilginin güvenli, bilgi sisteminin güvenilir kalmasını sağlayan kuralları içerir. Risk yönetimi süreci uygulayarak kişi, süreç ve sistemleri kapsayan politikalar geliştirilmesini motive eden ve küçük, orta ya da büyük ölçekli işletmelerin bilgi varlıklarını güvende tutmasına yardımcı olan önerilerde bulunur.
Sistemi güvenli halde tutmak için yapılması gereken önemli ipuçlarını açıklamak
*Bilgisayar tabanlı bir sistemin zararlı yazılımlardan korunması amacıyla aşağıda sıralanan önlemlerin alınması gerekir.
*Sistem üzerinde kurulu uygulamaları düzenli aralıklarla denetleyin, artık kullanılmayan programları sistem üzerinden kaldırın.
*Sistem üzerindeki programların son güncellemelerini yükleyin.
*Sisteme giriş yapan kullanıcıların girişlerini denetleyin ve parola politikanızı güçlü parola kullanımını zorunlu kılacak şekilde değiştirin. Sistemdeki trafiği izleyip müdahale edin ve izinsiz sistem girişlerini engelleyin.
*Sisteme yapılan uzaktan erişimi denetleyin ve güçlü bir erişim altyapısı kullanın.
*Bilgisayarınıza çok yönlü ve güvenlik duvarı içeren güçlü bir güvenlik yazılımı yükleyin.
*Özellikle işletim sisteminizi ve İnternet tarayıcılarınızı güncel tutun.
*Kimden geldiğini bilmediğiniz e-postaları açmayın. Kaynağını bilmediğiniz programları bilgisayarınıza yüklemeyin, çalıştırmayın.
*Ücretsiz yazılımlara dikkat edin, güvenlik açıkları barındırabilirler.
*Lisanslı yazılım kullanmaya özen gösterin. Önemli verilerinizin başka bir bellekte yedeklemesini mutlaka yapın.
Güvenlik tehditleri, güvenlik açıkları ve sistem kaynakları güvenlik riskini arttırır. Güvenlik politikası gereği uygulanan karşı önlemler sistemdeki bu riski azaltmaya çalışır. Saldırganın amacı sadece sistemin doğru çalışmasını engellemeye yöneliktir. Soruda değiştirme veya sahtecilik gibi başka bir kasıt verilmediği için bu saldırı Kesinti saldırısı sınıfında incelenebilir. Sistem güvenlik politikası mevcut tehditleri engellemeye yönelik karşı önlemler alır.
Bilgi güvenliği yaşam döngüsünün bu adımından sonra sistem üzerinde yapılan bütün veri iletişimi, yapılan bütün işlemler ve sistem kaynaklarının kullanım istatistikleri incelenip olağan görülmeyen sistem aktiviteleri kaydedilerek bir saldırı olarak kabul edilir. Bu normal olmayan aktivitenin sistem üzerinde kötü sonuçlara yol açtığı tespit edildiği durumda, buna yol açan sistem bileşeninin ilgili kısmı yeni bir güvenlik açığı olarak değerlendirilir. Bu yeni açığı kullanarak tekrar istenmeyen bir durumun oluşmasını engelleyecek yeni karşı önlemler almak bilgi güvenliği yaşam döngüsünün gereğidir ve sistemi güvenli tutmak için bu döngü sürekli olarak takip edilmelidir.