BT Varlıklarının Güvenlik Testi Adımları

chroot

   Bilgi Teknolojileri (BT) varlıklarının güvenlik testleri son yılların popüler, bir o kadar da kalitesinden şüphe edilen konuları arasında yer almaktadır. Farklı varlıklar için hazırlanan güvenlik kontrol listelerinin derinliğinin ölçülebilmesi için genel bir iskeletin üzerine bina edilmesi bir ihtiyaçtır. Bu makalede BT varlıklarının güvenlik testlerinde kullanılabilecek genel test adımlarından bahsedilecek, bu test adımlarının nasıl algılanması ve uygulanması gerektiği konularına ışık tutulmaya çalışılacaktır.
Giriş
Güvenlik açıklıklarının son yıllarda hızla artması, kurumların bu açıklıklara karşı önlem almasına ve yeni bilgi sistemi pozisyonları oluşmalarına yol açmıştır. Kurumun güvenlik anlamında daha kararlı bir noktaya ulaşabilmesi için çalışan bu kişiler, genellikle sağlıklı bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulması ve bilgi güvenliği denetimi; orta ölçekli firmalarda ise güvenlik yazılım ve donanımlarının yönetilmesi amaçlı çalışmalar yürütmektedirler.
Bilgi güvenliği denetlemelerini gerçekleştirmekle sorumlu denetçiler çalışmalarında çoğunlukla Internet ortamında ya da literatürde var olan kontrol listelerini kullanmayı tercih etmektedirler. BT güvenliği konusunda pek çok kaynağın erişilebilir olması bu yönelimi haklı çıkarmaktadır. Fakat bu yönelim, yapılan testler hakkında bazı soru işaretlerinin oluşmasına sebep olmaktadır. Bu sorular şöyle sıralanabilir:

Denetimlerde kullanılan kontrol listeleri yeterince detaylı mıdır? Farklı kontrol listeleri ile karşılaştırılarak sağlaması gerçekleştirilmiş midir? 
Kullanılan hazır kontrol listelerinde geçen maddeler net olarak anlaşılmış mıdır? Denetleme sonucunda oluşturulacak tavsiyelerin güvenliğe, performansa ve verilen servise olan etkileri net olarak bilinmekte midir? 
Kontrol listesi var olmayan BT varlıklarının denetimi ne şekilde gerçekleşmektedir? 
Özetleyecek olursak, tüm BT varlıkları için hazır kontrol listelerinin olması mümkün değildir. Var olan kontrol listelerinin yeterliliği ise uzman gözler tarafından değerlendirilmelidir. Bu iki konu BT varlıkları için hazırlanacak kontrol listelerinin içeriği konusunda bazı ön bilgilerimizin olmasını zorunlu kılmaktadır.
İlerleyen bölümde tüm BT varlıklarının güvenlik testlerinde uygulanabilecek genel test adımlarından bahsedilecektir.

Genel Test Adımları
Ağ Topolojisindeki Konum
Bilgi güvenliğinin popüler olduğu ilk yıllarda dış dünyadan korunma amaçlı güvenlik duvarları ortaya çıkmış daha sonra iç ağlardan kaynaklanan tehditlerin artmasıyla yarı güvenli bölge (Demiliterized Zone- DMZ [1]) olarak isimlendirilen ağ segmentinin yaygınlaştığı görülmüştür. Hem dış dünyadan, hem de iç ağdan korunması gerekli servislerin yer aldığı bu alt ağ, güvenli ağ topolojilerinin temelini oluşturmaktadır. Günümüzde kompleks saldırıların yaygınlaşması ve bazı araçlarla otomatik olarak gerçeklenebilmesi DMZ ağında yer alan sunucuların da birbirlerinden korunmasını gerekli kılmaktadır. Özellikle veritabanı, dosya sunucuları gibi sadece kurum bilgisayarları üzerinden erişilen bazı servislerin dış dünyadan erişilen servislerden ayrılması bu düşüncenin altındaki ana fikirdir. Şekil 1′de gösterilen ağ topolojisinde burada bahsedilen ağ segmentleri ve bu segmentler arasındaki trafik akışı resmedilmiştir. Kurum içi servislerin yer aldığı ağ segmenti Güvenli Ağ olarak isimlendirilmektedir.

Testi gerçekleştirilen BT varlıklarının Şekil 1′de gösterilen topolojide olması gerektiği alt ağda yer alıp almadığının kontrolü bu test adımının temelini oluşturmaktadır. Resimde hangi ağ bileşeninin nerede yer alması gerektiği ile ilgili bazı örnekler verilmektedir. Topolojik konum ve erişim kontrolünde şu genel kuralların uygulanmış olması beklenebilir:

Web, e-posta sunucu gibi kurumun verdiği servisler Internet ve kurum ağından korunan Yarı Güvenli Bölgede yer almalıdır. Erişimler sadece ilgili portlara açılmalıdır. 
Veritabanı gibi hassas veri taşıyan BT varlıklarına direk erişim engellenmelidir. Dolaylı erişim, sadece uygulamaların koştuğu web platformları üzerinden sağlanmalıdır. 
Yönetim merkezleri gibi bağlanılmaya ihtiyacı olmayan fakat diğer sunuculara bağlanma ihtiyacı olan varlıklara erişimler tümüyle kapatılmalıdır. 
Kurum ağında yer alan bilgisayarlara ve sunuculara diğer ağlardan erişim engellenmelidir. 
Kuruma ait sunuculardan hiçbirisi güvenlik duvarının önünde yer almamalıdır. 
Güvensiz kurulum yöntemleri
Özellikle birden çok işleve sahip yazılımlar kurulum sırasında farklı seçenekler sunmaktadır. Güvenlik açısından bu tür yazılımlarda farklı opsiyonların ne anlama geldiği anlaşılmalı gereksiz servis kurulumu engellenmelidir. Denetçi testini gerekleştirdiği varlıkta bu yazılımların kurulum yöntemini incelemeli ve kullanım şartlarına uygun en güvenli kurulum moduna sistemin geçirilebilmesi için tavsiyelerde bulunmalıdır.
Bu konuda Unix tabanlı ortamlarda dikkat edilebilecek diğer bir husus da chroot ya da jail olarak ifade edilen hücre yapısının[2] oluşturulup oluşturulmadığıdır. İşletim sistemi ile çalışan servis arasında sanal bir duvar oluşturan bu yapı ile servis üzerinden gelebilecek tehditlerin etkileri minimize edilmesi amaçlanır. Chroot kurulumunu destekleyen yazılımların bu formatta kurulup kurulmadığının irdelenmesi de denetçinin kontrol listesinde yerini almalıdır. Var olan servislerin Chroot yapısına geçirilmesi ile ilgili tavsiyelerde açık kaynak kodlu CAMMP [3] yazılımından bahsedilebilir.
Son güvenlik yamalarının eksikliği
Güvenlik yamalarının eksikliği tüm sistemler için tehdit oluşturmaktadır. Örneğin 2009 yılının ilk 6 haftasında BT varlıkları için yayınlanan açıklıkların sayısı Şekil 2′de[4] gösterilmektedir. Görüldüğü gibi her hafta ortalama 200′ün üzerinde açıklık ortaya çıkarılmaktadır. Yaması yapılmayan açıklıklar her geçen gün daha büyük tehdit oluşturmakta, etkileri ve istismar edilme olasılıkları artmaktadır. Bu sebeple BT varlıklarında güncel yamaların kontrolü denetçinin birincil görevleri arasında yer almalıdır.

Burada dikkat edilmesi konu, denetçinin güvenlik ile ilgili güncellemelere yoğunlaşmasıdır. Üretici firmalar fonksiyonel hatalardan, iyileştirme sebebiyle birçok yama yayınlayabilmektedirler. Denetçi bu yamalar ile ilgili tavsiyelerde bulunmaktan kaçınmalı, mümkünse güvenlik yamalarından da sadece sistem için tehlike arz edenlerin kapatılması ile ilgili yorum yapmalıdır. Bu şekilde tavsiyenin bilgi sistemi yöneticileri tarafından uygulanabilirliği de atacaktır.

İkinci bir konu da tüm yama eksikliklerinin yüksek risk oluşturmayacağının bilinmesidir. Denetçi var olan açıklıkları derinlemesine irdelemeli eğer kendisinden bir risk saptaması yapması bekleniyorsa bu değerlendirmesine göre yorumda bulunmalıdır.
Uzaktan bağlanma metotları
BT varlıkları genellikle başka varlıklara ya da son kullanıcıya bağlanma ihtiyacı duyarlar. Bu bağlantı metotlarının güvensiz olması hassas verinin ortaya çıkarılması ihtimalini de yükseltir. Güvensiz bağlantı örnekleri olarak şunlar gösterilebilir:

Bir sunucunun SSH yerine telnet protokolü ile yönetilmesi 
Dosya sunucu ile kullanıcı bilgisayarlarının şifresiz haberleşmesi 
Uygulama sunucuların veritabanı sunucuları ile güvensiz bağlantıları 
Kullanıcıların web tabanlı uygulamalara HTTPS yerine HTTP ile bağlanmaları 
BT varlıklarının büyük bir bölümü için bu tür bağlantılar için mevcut güvenli çözümler bulunmaktadır. Denetçiler, varlığın barındırdığı verinin önem derecesine göre bağlantı yöntemini irdelemeli ve güvenli yöntemleri önermelidirler.
Bu konuda ayrıca, kullanılan güvenli bağlantı yönteminin yeterli seviyede güvenlik sağlayıp sağlanmadığı da irdelenmelidir. Örneğin IPSEC kullanımında 3DES yerine günümüz teknolojisi ile kolaylıkla kırılabilen DES kullanımı güvensiz olacaktır.
Kullanılmayan servisler
Bu konu üç alt başlıkta ele alınmalıdır. Öncelikle yazılımın kurulumu ile gelen ve kullanılmayan servisler kontrol edilmelidir. Bu alt başlık Güvensiz Kurulum Yöntemleri başlığında anlatılanlar ile yakın ilişki içerisindedir.
İkinci konu ise her bir ana servisin sadece bir sunucu üzerinde çalıştırılmasıdır. Örneğin DNS servisi ile E-posta servisi farklı makinelerde yer almalıdır.
Son olarak işletim sistemleri ile gelen, kullanılmamasına rağmen açık durumda olan servislerin tespitine yönelik denetleme yapılmalıdır.
Her üç adımın sonunda tespit edilen servislerin kapatılması, mümkünse sistemlerden kaldırılması tavsiye edilmelidir.
Varlık yapılandırması (!!!)
BT varlıkları için özel çalışma gerektiren test adımları bu başlık altında yer alır. Internet ortamından bulunan varlığa özel test adımları kullanılabileceği gibi literatürdeki kabul görmüş kaynaklara da başvurulabilir [5]. Her iki durumda da denetçi laboratuar ortamında test adımlarının üzerinden geçmeli, testlerde beklenen sonuçların ne anlama geldiğini anlamalı; süreklilik ve işlevsellik üzerine olan etkilerini irdelemelidir.
Tehlikeli varsayılan değerler
Üretici firmalar genellikle yazılımlarının kolay bir şekilde kullanılabilir hale getirilebilmesi için yaygın kullanılan özellikleri kurulum sırasında aktif hale getirirler. Bu durum yazılımların güvensiz durumlarda kalmasına yol açabilir. Örneğin bir e-posta sunucusunun kurulduğunda aktif olarak çalışmaya başlayabilmesi için e-posta yönlendirme özelliğinin (relaying) açık olması gerekmektedir. Bu şekilde varsayılan yapılandırması gerçekleştirmiş e-posta sunucularının güvenlik ayarı yapılmadığı takdirde kaynakları, Spam e-postaların gönderimi için kötüye kullanılabilir.
Bu örnekleri arttırmak mümkündür. Denetçi, güvenlik denetlemesi gerçekleştirilen varlık için tehlikeli varsayılan yapılandırma değerlerini incelemeli ve nihai yapılandırmada güvenli değerlerin atandığını görmelidir.
İhtiyaç duyulmayan örnekler, dosyalar
BT varlıklarında önemli bilgileri açığa çıkaran veya sistemde güvenlik açığı meydana getiren diğer faktör de kurulum ile beraber gelen örnek uygulamalardır. Bu uygulamalar, en düşük ihtimalle kurulu yazılımın çeşidi ve sürüm bilgisi hakkında bilgi verici olacaktır. Bu örneklerden bazıları ise içerdikleri güvenlik açıklıkları sebebiyle saldırganların sisteme giriş noktaları olarak kullanılabilmektedir. Örneğin Oracle Application Server yazılımı, kurulumunda echo.exe isimli bir CGI örnek dosyasını barındırmaktadır. Oracle, son güvenlik yamalarında (Critical Patch Update – CPU [6]) bu örneğin tehlikeli olabileceğini ve kaldırılması gerektiğini bildirmektedir.
Denetçi kurulumla gelen bu örnekleri bilmeli ve sistemlerden kaldırılmaları yönünde tavsiyede bulunmalıdır. Eğer bu örnek uygulamalara ihtiyaç duyuluyorsa sadece ihtiyaç anında erişime açılabilmesi için dosya erişim ayarlarının kısıtlanması, sadece belirli IP adreslerinden erişilebilmesi/kullanılabilmesi gibi farklı çözümler de önerebilir.
Performans parametreleri
Son yıllarda BT varlıklarına gerçekleştirilen saldırıların giderek daha kompleks ve dağıtık olması, servis dışı bırakma ile sonuçlanan denemelerin daha başarılı olmasını sağlamaktadır. Son yıllarda Internet altyapısına gerçekleştirilen ve servis dışı bırakmayı hedefleyen bazı saldırılar bunun göstergesidir [7]. Özellikle dağıtık olarak gerçekleştirilen servis dışı bırakma saldırılarını önlemek güçtür. Fakat BT varlığının performans parametrelerinde gerçekleştirilebilecek bazı ayarlamalar saldırıların etkilerini azaltma veya belirli ölçekteki saldırılara karşı korunabilmek adına faydalı olacaktır.
Bu bağlamda denetçi, testi gerçekleştirilen BT varlığının optimum performans parametreleri hakkında araştırma yapmalı ve bu değerlerin sistemlerde uygulanması için tavsiyelerde bulunmalıdır.

<!--[if gte mso 9]> Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 <![endif]--><!--[if gte mso 9]> <![endif]--> <!– /* Font Definitions */ @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:162; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:”Thorndale AMT”; mso-font-alt:”Times New Roman”; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:”DejaVu Sans”; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:”"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; text-align:justify; mso-pagination:none; mso-hyphenate:none; font-size:12.0pt; font-family:”Thorndale AMT”,”serif”; mso-fareast-font-family:”DejaVu Sans”; mso-bidi-font-family:”Times New Roman”; mso-font-kerning:.5pt; mso-fareast-language:#00FF;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} –> 
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:”";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:”Times New Roman”,”serif”;}
İş Sürekliği ve Yedekleme konuları

<!– /* Font Definitions */ @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:162; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:”Thorndale AMT”; mso-font-alt:”Times New Roman”; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:”DejaVu Sans”; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:”"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; text-align:justify; mso-pagination:none; mso-hyphenate:none; font-size:12.0pt; font-family:”Thorndale AMT”,”serif”; mso-fareast-font-family:”DejaVu Sans”; mso-bidi-font-family:”Times New Roman”; mso-font-kerning:.5pt; mso-fareast-language:#00FF;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} –> 
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:”";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:”Times New Roman”,”serif”;}
Güvenliğin %100 sağlanamadığı gerçeği, saldırı sonrası gerçekleştirilmesi gereken aksiyonun önemini arttırmaktadır. Saldırıya uğramış bir sistem için yapılması gereken en önemli şey sistemin tekrar çalışabilir hale getirilmesidir. Bu noktada alınan yedeklerin ve iş sürekliliği planının önemi ortaya çıkmaktadır. Doğru ve yeterli bir iş sürekliliği planı olmayan kurumlar, saldırı karşısında oluşacak maddi zararın ve itibar kaybının artmasına engel olamazlar.

Denetçi, testi gerçekleştirilen BT varlığının yedeklenmesi konusunda aşağıda konuların üzerinde durmalıdır.

BT varlığının yedekleme politikası mevcut mu? 
Politikaya uyuluyor mu? 
Düzenli aralıklarla geri dönüm (recovery) tatbikatları gerçekleştiriliyor mu? 
Yedeği alınan veriler doğru belirlenmiş mi ve bu veriler sistemin geri döndürülebilmesi için yeterli mi? 
Yedek alma sıklığı BT varlığının önem derecesi düşünüldüğünde kabul edilebilir mi? 
Verinin yedeklerden döndürülme süresi kabul edilebilir mi? 

<!--[if gte mso 9]> Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 <![endif]--><!--[if gte mso 9]> <![endif]--> <!– /* Font Definitions */ @font-face {font-family:Wingdings; panose-1:5 0 0 0 0 0 0 0 0 0; mso-font-charset:2; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 268435456 0 0 -2147483648 0;} @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:162; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:”Thorndale AMT”; mso-font-alt:”Times New Roman”; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:”DejaVu Sans”; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:”"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; text-align:justify; mso-pagination:none; mso-hyphenate:none; font-size:12.0pt; font-family:”Thorndale AMT”,”serif”; mso-fareast-font-family:”DejaVu Sans”; mso-bidi-font-family:”Times New Roman”; mso-font-kerning:.5pt; mso-fareast-language:#00FF;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} /* List Definitions */ @list l0 {mso-list-id:1956910190; mso-list-type:hybrid; mso-list-template-ids:-692816336 69140481 69140483 69140485 69140481 69140483 69140485 69140481 69140483 69140485;} @list l0:level1 {mso-level-number-format:bullet; mso-level-text:; mso-level-tab-stop:none; mso-level-number-position:left; text-indent:-18.0pt; font-family:Symbol;} ol {margin-bottom:0cm;} ul {margin-bottom:0cm;} –> 
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:”";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:”Times New Roman”,”serif”;}

İlgili dosya/dizinlerin erişim hakları
Genelde lokal saldırılarda direk, uzaktan gerçekleştirilen saldırılarda ise dolaylı etkileri görülen dosya ve dizin erişim hakları, sistem yöneticilerinin dikkat etmesi gereken temel konular arasında yer almaktadır. Hassas verileri içeren dosyalara verilen okuma; yapılandırma, kayıt dosyalarına verilen yazma hakları gerçekleştirilen saldırıların etkilerini arttırmada ya da saldırı izlerini ortadan kaldırmada birincil öneme sahiptir.

Bir sistemde dosya haklarının nasıl olması gerektiği Tablo 1′de açıklanmıştır. Bu tablo daha çok Unix tabanlı sistemlere uygundur. Fakat yaklaşım mantığı Microsoft tabanlı işletim sistemlerine de uyarlanabilir. Burada esas olan lokalde tanımlı diğer kullanıcıların ya da servisi çalıştırma yetkisine sahip kullanıcının önemli dosyalar üzerindeki yetkisini minimize etmektir.
Bir web sunucuyu örnek olarak alalım. Web servisi üzerinde gerçekleştirilebilecek ve sunucu üzerinde uzaktan kod yürütme ile sonuçlanabilecek bir saldırının etkisi web servisini çalıştıran kullanıcının yetkileri ile sınırlıdır. Eğer bu kullanıcının yapılandırma dosyalarında değişiklik yapma hakkı varsa saldırgan; ilgili dosyaları değiştirebilir, web sunucunun sunduğu sitede istediği içeriği yayınlayabilir. Doğru erişim kontrolü, yapılandırma değişikliklerinin sadece sistem yöneticisi tarafından gerçeklenebilmesini sağlamaktır.
Denetçi, BT varlığına ait dosyaların erişim kontrolünü Tablo 1′i referans alarak kontrol etmeli ve gerekli güvenlik tedbirlerini önermelidir. Öneri öncesinde dosyaların erişim haklarının değiştirilmesinin varlık üzerinde oluşturabileceği etkiler test ortamlarında görülmeli ve güvenlik yapılandırmasının sistemi kesintiye uğratmadığından emin olunmalıdır.
NOT: Unix tabanlı sistemlerde dizinlere giriş hakkının dizine çalıştırma yetkisi verilerek sağlandığı unutulmamalıdır. Örneğin bir dizin ve altındaki tüm dizinlerde yer alan dosyalardan çalıştırma yetkisi kaldırılmak isteniyorsa şu yol izlenebilir.
# chmod -R -x /dizin
# chmod -R +X /dizin
Birinci komut tüm dosya ve dizinlerden çalıştırma hakkını kaldırırken ikinci komut sadece dizinlere bu hakkın verilmesini sağlayacaktır.
Servisi Çalıştıran Kullanıcı
Yukarıda bahsedilen dosya erişim haklarına ek olarak ele alınması gereken bu konu, yine gerçekleştirilen saldırının etkilerini azaltmaya yöneliktir. Yukarıda bahsedildiği gibi yetkisiz komut çalıştırma ile sonuçlanabilecek saldırılar ilgili servisi çalıştıran kullanıcının yetkileri seviyesinde erişim hakkı kazanır [8]. Bu sebeple servisler, sistem yöneticisi yetkilerine sahip (Microsoft tabanlı işletim sistemlerinde administrator, system; Unix tabanlı işletim sistemlerinde root, toor vs.) kullanıcılar adına çalıştırılmamalı, bunun için yetkisi düşük yeni kullanıcılar oluşturulmalıdır. Sunucu üzerinde birden fazla servis çalışıyor ise her servis için farklı kullanıcı hesabı tercih edilmelidir.
Unix tabanlı işletim sistemlerinde genellikle bu tür bir yönelim mevcuttur. Öte yandan Microsoft tabanlı servisler genellikle system hesabı kullanılarak çalışmaktadır. Testi gerçekleştirilen BT varlığı için bilinen ve test edilmiş bir yöntem mevcut ise denetçi bu yöntemi tavsiye etmeli ve servisi çalıştıran kullanıcının yetkilerinin kısıtlanması sağlanmalıdır.
Kullanıcı hesapları ve hakları
BT varlığı içerisinde tanımlanan kullanıcı hesapları denetçinin üzerinde yoğunlaşması gereken diğer bir alandır. Kurulumla gelen varsayılan kullanıcı hesapları ve şifreler bu başlıkta dikkat edilmesi gereken en önemli konudur. Bunun dışında:

Uzun süre kullanılmayan hesaplar (dormant accounts) 
Kurumdan ayrılan personelin hesapları 
Gereğinden fazla yetki verilen hesaplar 

<!--[if gte mso 9]> Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 <![endif]--><!--[if gte mso 9]> <![endif]--> <!– /* Font Definitions */ @font-face {font-family:Wingdings; panose-1:5 0 0 0 0 0 0 0 0 0; mso-font-charset:2; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 268435456 0 0 -2147483648 0;} @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:162; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:”Thorndale AMT”; mso-font-alt:”Times New Roman”; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:”DejaVu Sans”; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:”"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; text-align:justify; mso-pagination:none; mso-hyphenate:none; font-size:12.0pt; font-family:”Thorndale AMT”,”serif”; mso-fareast-font-family:”DejaVu Sans”; mso-bidi-font-family:”Times New Roman”; mso-font-kerning:.5pt; mso-fareast-language:#00FF;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} /* List Definitions */ @list l0 {mso-list-id:1004431302; mso-list-type:hybrid; mso-list-template-ids:-413608242 69140481 69140483 69140485 69140481 69140483 69140485 69140481 69140483 69140485;} @list l0:level1 {mso-level-number-format:bullet; mso-level-text:; mso-level-tab-stop:none; mso-level-number-position:left; text-indent:-18.0pt; font-family:Symbol;} ol {margin-bottom:0cm;} ul {margin-bottom:0cm;} –> <!--[if gte mso 9]> Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 <![endif]--><!--[if gte mso 9]> <![endif]--> 
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:”";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:”Times New Roman”,”serif”;}

bu alanda değerlendirilmesi gereken başlıklardandır. BT varlığı imkan veriyorsa kullanıcılara şifre politikası belirlenmeli ve bu politikaya uyma zorunluluğu getirilmelidir. Denetçi şifre politikalarının yeterliliğini de irdelemelidir.
Sistemlere giriş sırasında kullanıcı bilgileri ve şifreler hakkında sunulan bilgiler de incelenmesi gereken bir diğer alt başlıktır. Örnek denetleme adımları şu şekilde belirlenebilir:

Son giriş yapan kullanıcının veya tüm kullanıcıların listesinin giriş ekranında bulunmaması 
Şifre hatası mesajının kullanıcı ismini varlığını bildirir içerikte olmaması. 
Varlık kayıt tutma yapılandırması
Saldırıları takip etmenin olmazsa olmazlarından birisi de aktivite kayıtlarının tutulmasıdır. İmkanlar elverdiği seviyede BT varlıklarına ait kayıtlar tutulmalıdır. Bu kayıtların seviyesi BT varlığına kullanım yoğunluğuna göre değişebilir. Örneğin yoğun çalışan veritabanlarında sadece gerçekleştirilen ekleme ve güncellemelerin kayıtları tutulabilirken, bir web sunucuda tüm erişimler kayıt altına alınabilir. Burada önemli olan BT varlığını yönetenlerin bu konuda en optimum çözümü uygular durumda olmalarıdır.
Kayıtlar konusunda dikkat edilmesi gereken diğer bir konu kayıt tutma kapasitesinin ihtiyaçları karşılar durumda olmasıdır. Yönetmelikler, kanunlar ya da kurum politikalarına göre belirlenen süre boyunca kayıtlar tutulmalıdır. Örneğin 5651 no’lu kanun [9] erişim sağlayıcıların 6 ay ile iki yıl arasında erişim kayıtlarını güvenli bir şekilde saklamasını şart koşmaktadır.
Bu noktada güvenlikten kasıt saklanan kayıtların sistem yöneticileri tarafından manipule edilmediğinin garanti edilmesidir. Günümüzde kayıtların adli anlamda geçerli kabul edilebilmesi için güvenliğinden emin olunması gerekmektedir. Bunu sağlayan mekanizmalar mevcuttur (Zaman damgası ve bütünlük uygulamaları). Kurumlar bu mekanizmaları işletmek, denetçi ise kontrol etmek durumundadır.
Kayıtları belirli bir süre saklama zorunluluğu olmayan veya bu doğrultuda bir karar alınmamış olan BT varlıklarında kullanılan kayıt alma metodu da denetçinin dikkat etmesi önemli konulardandır. Kayıt tutulması için küçük bir disk alanının ayrılması, rotasyon kullanılarak eski kayıtların üzerine yenilerinin yazılması saldırganların aktivitelerini gizlemek amacıyla kullanabilecekleri sistem zayıflıklarındandır.
Sürüm Bilgilerinin İfşası
Saldırganların bildikleri açıklıklar ile erişilebilen servisleri ilişkilendirebilmeleri için kullandıkları en etkin yol, hedef sistemin parmak izini çıkarmaktır [10]. Parmak izi genellikle sistemlerin karakteristik yapılarının incelenmesi sonucunda ortaya çıkarılır. Üretilen hatalar, karşılama mesajları, ağ trafiğindeki ipuçları bu karakteristiğe örnek olarak verilebilir. Günümüzde servislerden veya işletim sistemlerinden parmak izi üretiminin tümüyle engellenmesi çok kolay değildir. Diğer taraftan yanlış tespitler için bazı önlemler alınabilir. Örneğin karşılama mesajları değiştirilebilir, örnek uygulamalar kaldırılabilir veya hata sayfaları özelleştirilebilir. Denetçi bu yönde tavsiyelerde bulunmalıdır.

Saygılar..

DÃ¼zenleyen megabros - 23-08-2009 Saat 09:49