İPUCU

Bilgisayar Güvenliği Bilgisayar Güvenlik Sistemleri makaleleri, virüs korumasından, güvenlik duvarlarına kadar her şeyin nasıl çalıştığı hakkında bilgilere buradan ulaşabilirsiniz.

Seçenekler

Bilgi Güvenliğinde Güvenlik kayıtlarının önemi

23-03-2013 12:32
#1
Üyelik tarihi:
01/2013
Nereden:
İstanbul
Yaş:
28
Mesajlar:
771
Teşekkür (Etti):
27
Teşekkür (Aldı):
51
Konular:
232
Ticaret:
(0) %
Gerek finansal uygulamalar olsun gerek İnternet üzerinden alışveriş olsun gerekse e-devlet uygulamalarına erişim olsun, İnternet artık günümüzün vazgeçilmez olgularından bir tanesi haline geldi. İnternete erişimi sağlayan bilgi sistemleri de gün geçtikçe daha çok önem kazanmakta. Bilgi sistemlerinin bu kadar önem kazanmasıyla birlikte sistemi kötüye kullanmak ve bu yolla maddi veya manevi fayda sağlamak oldukça yaygınlaşmış durumda. Bu kötüye kullanmaya karşı yapılması gereken, yukarıda bahsedilen ihtiyaçlara erişimi sağlayan sistemlerin güvenliğinin sağlanmasıdır.

Bilgi güvenliği hiç bir zaman %100 sağlanamayacak olan, ancak daima %100’e yaklaşmak için çalışmayı gerektiren önemli bir alan haline gelmiştir. Nasıl ki bir banka şubesinde ne yaparsanız yapın güvenliği %100 sağlayamazsınız ve bu yüzden etrafa kameralar yerleştirerek, saldırı girişimlerini izleyerek engellemeye çalışırsınız veya olayı önleyemiyorsanız olayı gerçekleştireni yakalamanız gerektiğini düşünürsünüz, bilgi sistemlerinde de güvenliği belli bir aşamada sağladıktan sonra, sistemi olası kötüye kullanmalara karşı izlemeniz, önleyebiliyorsanız saldırıları önlemeniz, önleyemiyor iseniz, saldırıyı yapan kişileri sonradan tespit etmeniz gerekecektir. İşte bu yüzden, bilgi sistemlerinde kullanılan kaynakların oluşturduğu güvenlik kayıtları izlenerek, başarılı saldırıları veya başarısız saldırı girişimlerini izlemek önem teşkil eder. Bu işlem için Güvenlik Olayları Kayıt Sistemi (Security Incident and Event Management) kullanılmaktadır.

Güvenlik Olayları Kayıt Sistemi (SIEM) kullanılarak, bilgi sistemlerinin değişik katmanlarında çalışan donanım ve yazılımlara (yazının devamında donanım ve yazılıma bileşen denilecektir) ait güvenlik kayıtlarının izlenmesi sağlanmaktadır. İzlenecek olan bileşenler, kurumun güvenlik ihtiyaçlarına göre çeşitlilik arzedebilir. Örneğin, bir banka açısından, basit bir anahtarlama cihazına ait kayıtların izlenmesi hayati önem oluşturabilir.

Aşağıda verilen şekilde, Güvenlik Olayları Kayıt Sisteminin nasıl çalıştığı ve ne tür kaynaklardan bilgi toplayabileceği gösterilmiştir. Sistem 3 ana bileşenden oluşur: güvenlik kayıtlarını toplayarak belirli bir formata getiren sensör, sensörden gelen formatlı bilgilerin kaydedildiği veritabanı ve veritabanı ile sensörün izlenmesini ve yönetilmesini sağlayan yönetim sunucusu. Bu 3 ana bileşen, ihtiyaca göre tek bir sunucu üzerinde yer alabileceği gibi, farklı sunucular üzerinde de konumlandırılabilir. Sensörün veri toplayabileceği kaynaklar aktif ağ cihazlarından, açık kaynak kodlu yazılımlara, windows tabanlı sunuculardan, veritabanı sunucularına kadar geniş bir yelpazeye yayılabilir.


Şekil 1 Kayıt Sistemi Yapısı ve Güvenlik Olayları Kaynakları
Kayıt Sistemi kurulumu yapılmadan önce bilgi sistemlerinde yer alan bileşenlerden hangilerinin kayıtlarının izleneceği, izlenecek olan bileşenlerden gelecek kayıtların neler olacağı veya kritiklik seviyesinin (level) ne olacağı belirlenmiş olmalıdır. Bütün bu parametreler belirlenerek bir Kayıt Sistemi politikası oluşturulmalıdır. Örneğin, “güvenlik duvarı kayıtlarından sadece düşürülen paketlere ilişkin kayıtlar izlenecektir” şeklinde bir politika maddesi olabileceği gibi, “güvenlik duvarı kayıtlarının tamamı izlenecektir” şeklinde de bir politika da benimsenebilir. Aşağıda, Kayıt Sistemi için örnek bir kurulum ve işletim modeli verilmiştir.


Şekil 2 Örnek Kurulum ve İşletim Modeli
Yukarıda verilen model paralelinde, Kayıt Sistemi kurulum ve işletimi yapmak için belirlenen adımlar verilmiştir. Şimdi bu adımları daha detaylı inceleyerek, ne anlama geldiğini açıklayalım:

Öncelikle, güvenlik kayıtları izlenecek olan bileşenlerin belirlenmesi gerekir. Bileşenler belirlenirken, bileşenlerin sistem açısından arzettiği önem ve oluşturduğu gerekli veya gereksiz kayıt miktarı dikkate alınmalıdır. Ayrıca, bileşenin oluşturduğu kayıtların ne kadarının güvenlik açısından bizi ilgilendirdiği de önem arzetmektedir. Örneğin, bir anahtarlama cihazında (switch) portların aktif-pasif (up-down) olması bizi güvenlik açısından çok ilgilendirmeyecektir. Ama, anahtarlama cihazına uyguladığımız MAC adres filtrelemelerinin aşılmaya çalışılması güvenlik açısından ilgi çekici olacaktır.Güvenlik açısından kayıtlarını izlememiz gereken bileşenlerin başında, görevi doğrudan sistemin güvenliğini sağlamak olan bileşenler gelmelidir. Örneğin, Güvenlik Duvarı (Firewall), Saldırı Tespit/Engelleme Sistemi (Intrusion Detection/Prevention System), İçerik Kontrolcü (Content Filter) vb... gibi bileşenlerin kayıtları oluşturacağımız kayıt yönetim sisteminin yapı taşını oluşturabilir.

Bileşenler belirlendikten sonra, bileşenlerden bütün kayıtların mı izleneceği yoksa belli seviyede kayıtların mı izleneceği belirlenmelidir. Bunun için bileşenlerin oluşturacağı kayıt tipleri incelenerek, hangi tip kayıtların güvenlik ile ilgili olduğu, hangi tip kayıtların güvenlikle ilgili olmadığı belirlenir.

İzlenecek olan bileşenler ve kayıt seviyeleri belirlendi. Bu kayıtların, merkezi kayıt yönetim sistemine aktarılması için hangi mekanizmalar kullanılacak? Kayıt yönetim sistemi kurulduktan sonra bileşenlerden kayıtların gönderilmesi için değişik seçenekler bulunmaktadır. Bazı bileşenlerde bu işlem için basit ayarlar bulunmaktadır. Örneğin, Cisco marka bir yönlendirici de aşağıdaki komutlar kullanılarak, yönlendiriciye ait warning ve üstü seviyedeki kayıtların, 192.168.2.13 IP adresine sahip bir kayıt sunucuya gönderilmesi sağlanır:


Ancak, bileşende yer alan kayıtların, merkezi sunucuya gönderilmesi her bileşen için bu kadar kolay olmayabilir. Örneğin, Domain Controller, Exchange Sunucu gibi bileşenlerde kayıtları başka bir sunucuya göndermek için, ajan (agent) kurmak gerekir. Bu ajanlar vasıtasıyla, Windows’ta zaten var olan kayıt mekanizmasında tutulan kayıtlar, metin haline getirilerek, syslog formatında veya başka bir formatta merkezi sunucuya gönderilebilir.

Linux/Unix tabanlı sunucularda kayıt gönderme işlemi göreceli olarak daha kolaydır. Basit bir yazılım kullanılarak, kayıtlar syslog formatında merkezi bir sunucuya gönderilebilir.

Kayıt gönderme mekanizması olmayan ve herhangi bir yazılımla kayıt göndermesi sağlanamayan sunucular da karşımıza çıkacaktır. Bu sunuculardaki kayıtları çekmek için ise sunucu üzerinde ek bir kullanıcı oluşturularak, bir betik (script) vasıtasıyla kayıtların merkezi sunucu üzerine aktarılması sağlanabilir. Sunucunun kayıt mekanizması ne kadar karmaşıksa, betik yazarak kayıtların o sunucudan alınma işlemi de o kadar zor olacaktır.

Tüm bu işlemlerden sonra, güvenlik kayıtları izleme politikası oluşturulur. Bu politika da, hangi bileşenlerden ne tür kayıtların izleneceği ve bu kayıtların hangi yöntemlerle alınacağı belirtilir. Örneğin oluşturulan politika da şu maddeler bulunabilir:
A yönlendiricisinden uyarı (warning) seviyesi ve üstü seviyede ki kayıtlar izlenecektir. B ve C yönlendiricilerinden, kritik (critical) ve üstü seviyede kayıtlar izlenecektir.

A güvenlik duvarının sadece düşürdüğü paketlere ilişkin kayıtlar ve kullanıcı kayıtları izlenecektir. B güvenlik duvarının ise hem düşürdüğü paketlere ilişkin, hem de izin verdiği paketlere ilişkin kayıtlar izlenecektir.

Windows tabanlı sunucuların sadece security kayıtları izlenecektir.

Saldırı Tespit Sistemi (IDS) kayıtlarının tamamı izlenecektir.

Politika belirlendikten sonra Kayıt Sistemi kurulumu gerçekleştirilir. Kayıt Sistemi olarak açık kaynak kodlu yazılımlar (örneğin OSSIM) kullanılabileceği gibi, ticari yazılımlarda kullanılabilir.
Kayıt Sistemi kurulumu yapıldı ve artık kayıtlarımız merkezi sunucuya ulaşmaya başladı. Artık, kayıtlar izlenerek hangilerinin gerçekten güvenlikle alakalı olduğu hangilerinin güvenlikle alakasının olmadığı belirlenme aşamasına gelinmiştir. Bu aşamada kayıtlar izlenir ve sürekli olarak daha önce oluşturulan politika güncellenir. Bu işlemin döngüsel bir şekilde tekrarlanması sistemin düzgün çalışması ve güncel olması bakımından önemlidir.

Kayıt Sistemi, kullanılacak olan ürüne bağlı olarak, kayıtları ilişkilendirme ve risk seviyesi atama gibi ileri seviye işlemleri de gerçekleştirebilmektedir. Bu şekilde çeşitli kaynaklardan gelen kayıtlar ilişkilendirilerek, yanlış positif (false positive) oranının en aza indirgenmesi sağlanabilir. Aynı zamanda, çok ciddi saldırılara karşı özel önlemler alınması sağlanabilir. Örneğin, gece yarısı başlatılan bir DDOS saldırısını, kayıt sisteminin SMS atarak ilgili kişiye bildirmesi sağlanabilir.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı