Network’lerde En Büyük 10 Güvenlik Açığı
Hacker’ların sayılarının hızla artması ve ağlara sızmak için sürekli yeni ve sinsi yöntemlerin geliştirilmesi, ağ güvenliğini en önemli konulardan biri durumuna getirdi. Ağınızı bekleyen tehlikeleri ve bunlardan korunma yöntemlerini sizler için derledik.
Ağ işletim sistemleri ve bunların korunmasına yönelik geliştirilen “Firewall ve Denetim” yazılımlarının incelenmesine kaldığımız yerden devam ediyoruz. Kısaca hatırlatmak gerekirse ilk bölümde, firewall ve anti-virüs yazılımları üzerine temel bilgiler vermiş ve port’ların yapısından bahsetmiştik. Bu ay ise çeşitli ağ işletim sistemlerini tehdit eden en önemli güvenlik açıklarını inceleyerek, yöneticilerin ve sistem sorumlularının bunlara ek olarak yapmış oldukları kritik hatalara değineceğiz. Ayrıca Unix ve NT işletim sistemleri için özel olarak tasarlanmış bir firewall olan “CyberGuard”ın inceleme ve test sonuçları da bu ay ki yazımızın diğer konuları arasında. Öncelikle internet tarihinde sistemleri tehdit eden en önemli 10 güvenlik açığını ve bu açıklara karşı ne gibi önlemlerin alınması gerektiğini inceleyelim. Özellikle son yıllarda ciddi oranda artan tescilli bilginin çalınması, sistem çökertme, denial of service (hizmet durdurma saldırısı) ve diğer hacker olayları, bu konu üzerinde ürünler geliştiren firmaları oldukça zor durumda bırakıyor.
Örneğin ; x firması yeni çıkarmış olduğu bir kurumsal firewall’u oldukça güvenilir ve rakipsiz olarak piyasaya lanse ederken, bir süre sonra yine aynı firma, söz konusu ürünün bir çok açığının keşfedildiğini ve bunun üzerine bir patch (yama) çıkarıldığını duyuruyor. Bu aslında son derece rutin bir gelişme. Sistemlere sızmanın binbir çeşit yolu varken, fazla bir geçmişi olmayan firewall’ların işin biraz gerisinden gelmesi anlaşılabilir bir olgudur. Diğer taraftan sistem yöneticilerinin yaptıkları işe yeterince ilgi göstermemesi hacker’ların hep bir adım önde olmalarını sağlıyor. Sistem yöneticileri ya çok fazla işle uğraşmak zorunda olduklarından ya da teknolojiyi yeterince yakından takip edememelerinden dolayı sistemlerinde oluşabilecek güvenlik açıklarını ne yazık ki gözden kaçırıyorlar. Belki de çoğu kişi için bu iş biraz ağır geliyor. Ancak ağ güvenliği ve dolayısıyla internet güvenliği kesinlikle hafife alınabilecek bir iş değil.
Network’te tehlike:
En önemli 10 güvenlik açığı
Hacker’ların bilgisayar sistemlerine girmek için yaptıkları iş, en bilinen güvenlik deliklerini en çok kullanılan saldırı programları ile kontrol etmekten ibaret. Örneğin Amerika Savunma Bakanlığı Pentagon’un bilgisayarlarına giren hacker’lar NT sunucuların bir yama ile basitçe tıkanabilecek bir güvenlik deliğinden faydalanmışlardı. İşte en önemli 10 açık.
1 – BIND (Berkeley Internet Name Domain):
Alan adı servislerinin en çok kullanılanı olan BIND sayesinde web sitelerine erişmek için IP numarası yerine .com, .org, .net ile biten isimler kullanırız. Hacker’lar BIND servisinin zayıf noktalarını bularak kayıtları değiştirme yoluyla isimleri istedikleri IP numaralarına yönlendiriyorlar. Ne yazık ki internette kullanılan alan adlarının yarısından fazlası bu saldırılara açık durumda.
2 – Korunmasız CGI ve diğer web uygulama uzantıları:
Bir çok web sitesinde etkileşimli formlar ve şifre kontrolü amacı ile kullanılan CGI uygulamaları kimi zaman kötü niyetle kullanılabiliyor. Bir çok programcı yazdıkları kodların hacker’lar tarafından amaç dışı kullanılabileceği konusunda yeterince bilgi sahibi değiller. Zayıf CGI kodları ile web sitelerinin veri tabanlarına çok rahatlıkla ulaşılabilir ve kullanıcı şifreleri gibi hassas veriler çalınabilir! Şifre veya kredi kartı gibi kişiye özel verilerin işlendiği etkileşimli sitelerde mutlaka SSL (Secure Sockets Layer) teknolojisi veya 128 bit’lik benzer standartlar kullanılmalı.
3 – RPC (Remote Procedure Call):
Uzaktan erişim yoluyla bir bilgisayar üzerinden başka bir bilgisayar üzerindeki bir programı çalıştırmaya yarayan RPC komutları hacker’lara korunmasız sistemler üzerinde Root yetkisi veriyor. Belirlenmiş politikalar haricinde izinsiz girişleri tespit edebilen basit bir firewall bu tip denemeleri fazlasıyla bloke edecektir. Ayrıca IP yönünden de bu kişiler tespit edilebilir. Ancak saldırıların büyük çoğunluğunun internet kafelerden yapıldığı göz önüne alınırsa bu IP bilgilerinin pek fazla değeri olmayacaktır.
4 – Microsoft Internet Information Server (IIS) güvenlik deliği:
Windows NT ve 2000 sunucularda çalışan IIS’in uzaktan kontrol özelliği sisteme sızmak için potansiyel bir güvenlik deliği. Bu açığı yoklayarak sisteme girmeyi başaran hacker’lar “Administrator” olarak istediklerini yapma hakkına sahip oluyorlar. IIS 4.0 kullananların en kısa sürede 5.0’a geçmeleri ve çok gerekli değilse uzaktan kontrol özelliğinin devre dışı bırakılması önerilir.
5 – Windows NT Server 4.0 (service pack 7) – Windows 2000 Server (Service pack2):
NT Server 4.0 ve 2000’de bulunan kritik güvenlik açıkları Microsoft tarafından şimdilik giderilmiş gözüküyor. Söz konusu yamaları Microsoft’un sitesinden indirerek mutlaka sistemlerinize adapte etmelisiniz. Yazılım firmalarının hata gidermedeki verimlilik oranları (defect removal efficiency) yüzde 99 düzeyindedir.
6 – Sadmind ve mountd komutları:
Solaris işletim sistemi kullanan sunucularda sadmind komutuyla uzaktan erişim hakkı elde eden hacker’lar mountd komutu ile Root yetkisi alıyorlar. Bu işletim sistemini kullanan sunucuların söz konusu açıkları sistem yöneticileri tarafından kapatılmalı.Ayrıca, güvenilir bir firewall ile desteklenmesi de gerekir.
7 – NT, Linux ve Macintosh’larda dosya paylaşımı:
Windows Netbios, Linux NFS ve AppleShareIP servisleri çoğu zaman internete açık olan sistemlerde kullanıma hazır duruyor. Sisteme giriş için tek yapılması gereken, IP adreslerini tarayarak açık servisleri bulmak. İşi bilen için gerisi çorap söküğü gibi gelir. Daha önceki maddelerde de belirtildiği gibi gereksiz, kullanılmayan servisleri mutlaka diskalifiye edin. Ayrıca bu tip protokoller ağa çok fazla yük getirdiğinden bir anlamda bunun da önüne geçilmiş olur.
8 – flifresiz veya basit flifreli Root\Administrator yetkileri:
Çoğu sistem yöneticisinin değiştirmeyi unuttuğu veya sıkça kullanılan şifreler çoğu hacker’ların sözlüklerinde zaten bulunmakta. Bu işlem tecrübenin de getirdiği tahmin gücüyle birleşince, bunları deneyen usta hacker’lar sistemlere şifreleri ile girebiliyorlar. Şifreleme sırasında akılda kalıcı olmayan kombinasyonlar kullanılmalı.
9 – IMAP ve POP e-posta protokolü güvenlik delikleri:
E-posta protokolleri olan IMAP ve POP bir dizi güvenlik deliği içermekte. Bu protokoller e-posta erişimine izin vermek için firewall’lar tarafından açık bırakılır. Ancak bu servisler üzerinden sisteme giriş yapan hacker kendini Root yetkisi ile donatabiliyor. Bu açığın tehlikesi mevcut firewall’un mimarisi ile orantılıdır. Bu da seçilecek firewall’un kendini kanıtlamış bir ürün olması gerektiğini ortaya koyar.
10 – SNMP (Simple Network Management Protocol):
Ağ yöneticilerinin ve çeşitli ağ izleme araçlarının, sistemi izlemek ve yönetmek için kullandıkları SNMP protokolü çoğu zaman şifresiz paketler yolu ile haberleşir. Bunlara erişebilen veya mevcut paketleri deşifre edebilen hacker tüm ağ hakkında çok değerli bilgiler edinebilir. Tek çözüm yasadışı sniffer’lara karşı ilan edilmemiş denetimler gerçekleştirilmesini sağlamaktır. Tüm bunlara ilave olarak her geçen gün yeni saldırı yöntemleri geliştirilmekte olup dolayısıyla yeni açıklar ortaya çıkmaktadır. Bu tip potansiyel güvenlik açıklarını yakından takip etmek isteyenler SANS Enstitüsü’nün sitesinden yararlanabilirler. 96 bin sistem yöneticisinden kurulu bir platform olan SANS, internet üzerinde oluşturulması gereken güvenlik standartları hakkında bilgi topluyor ve sitesinde tavsiye niteliğinde açıklamalarda bulunuyor. SANS Enstitüsü’ne
www.sans.org adresinden ulaşabilirsiniz.
Yöneticilerin ve sistem uzmanlarının hataları
Güvenlik açıklarının yanında yöneticilerin ve üst düzey sistem uzmanlarının da yapmış olduğu bir takım hatalar mevcut. Elemanlara gerekli eğitimin verilmemesi, basit şifre kullanılması vb. eksiklikler hacker’ların işini kolaylaştırabiliyor.
Kısaca incelemek gerekirse;
- Güvenliği muhafaza etmek üzere eğitimsiz elemanlar almak ve buna rağmen işin öğrenilmesi için gerekli eğitim ve zamanı sağlamamak.
- Bilgi güvenliğinin meslek yaşamıyla ilişkisinin ciddiyetinin farkına varmamak.
- Sistemlerdeki olası açıklar için yamalar yüklemek ancak bu yamaların ne kadar güvenli olduğunu kontrol etmemek.
- Güvenlik duvarına (firewall) birinci dereceden güvenmek. Zira her güvenlik duvarı yazılımı sistemi yüzde 100 korumakla yükümlü değildir.
- Bilgiye ve firmalara ilişkin ünün ne kadar değerli olduğunun farkına varamamak.
- Tepkisel ve kısa vadeli çözümlere prim vermek ve bunun sonucu olarak çok geçmeden aynı problemlerle karşılaşmak.
- Sistemleri kuvvetlendirmeden internet ağına açmak.
- Güvenlik duvarı olan sistemlerde telnet gibi sisteme dışarıdan giriş yapabilen protokollere izin vermek.
- Özellikle ftp, telnet, finger ve rpc gibi her zaman gerekli olmayacak servisleri çalıştırmak.
- Virüs algılama ve koruma yazılımlarını güncellememek.
- Yedeklemeyi muhafaza ve test ederken başarısız olmak.
- Kullanıcılara telefonda şifre vermek veya kullanıcı şifrelerinin değiştirilmesi taleplerini ve kişisel istekleri kullanıcı doğrulanmadan telefonda cevaplamak.
- Kullanıcıları potansiyel bir güvenlik sorunuyla karşılaştıkları zaman ne yapmaları gerektiği yolunda eğitmemek.
- Ve belki de en önemlisi, güvenlik duvarını giriş ve çıkışlardaki tehlikeli trafiği engelleyemeyecek kurallarla yürütmek.