Ağ Saldırılarını Algılama ve Önleme
Ağ saldırılarına neden olan etkenlerden bazıları şunlardır:
• Ağ cihazlarının eksik veya yanlış yapılandırılan konfigürasyonları
• Ağ cihazlarının varsayılan olarak bırakılan ayarları
• Ağ ve son kullanıcı cihazlarının zafiyetleri
• TCP/IP protokol (TCP, ARP, ICMP, DHCP, DNS vb.) zafiyetleri
• Zamanında yapılmayan işletim sistemi ve firmware güncellemeleri
• Yazılım açıkları
• Sıfır gün (zero day) açıkları
• P2P dosya paylaşım ağ bağlantıları
• Şifreleme kullanılmayan veri aktarımları
• Halka açık kablosuz ağlar
• Zararlı yazılımlar
• Son kullanıcı zafiyetleri
• Ağ ve sistem yöneticilerinin ihmali
Ağ saldırılarını algılama ve önleme teknikleri, kurumların KVKK kapsamındaki tedbirleri almasında önemli bir yere sahiptir. IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) bu tekniklerin yerine getirilmesinde kullanılan araçlardır.
Saldırı Tespit Sistemi (IDS)
IDS; ağdaki tüm trafiği sürekli dinler, veri paketine bakar, saldırı olarak tanımlanan işlemleri tespit ettiği an uyarı sistemi aracılığıyla sistem yöneticisine veya SIEM sistemine bilgi (alarm) verir.
SIEM sistemine gelen alarmlar bazen hatalı olabilir. SIEM (Security Information and Event Management) bu alarmları analiz edip hangilerinin hatalı, hangilerinin hatasız olduğunu belirlemeye çalışır. Sistem yöneticileri de uyarılara göre gerekli önlemleri alarak saldırıları engelleyebilir. IDS, dinlediği trafiğin kaydını tutabilir ve rapor oluşturabilir.
IDS cihazı genellikle switch (anahtar) cihazına bağlanır. IDS switch cihazına bağlanırken SPAN portunu kullanır.
SIEM, Güvenlik Bilgisi ve Olay Yönetimi Sistemi olarak tanımlanır. SIEM, ağ saldırılarını daha hızlı bir şekilde tespit edebilmek için ağdaki güvenlik cihazlarında tutulan bütün logları toplayan, analiz eden ve gerektiğinde uyarı veren bir yazılımdır.
IDS araçları, imza ve davranış tabanlı olmak üzere iki tür çalışma şekline sahiptir.
İmza Tabanlı IDS: Dinlediği ağ trafiğini kendi veri tabanındaki saldırılara ait imzaları (kural listeleri) sorgulayarak karşılaştırır. Bunun sonucunda alarm verip vermeyeceğini kararlaştırır.
İmzaların bulunduğu veri tabanı sürekli güncel tutulmalıdır.
Davranış Tabanlı IDS: Normal davranışa sahip trafiği analiz ederek dinlediği ağ trafiği ile karşılaştırır. Dinlenen trafik, normal davranışa sahip trafiğe benzemiyorsa anomali olarak
sınıflandırılır.
Saldırı Önleme Sistemi (IPS)
IPS, üzerinden geçen trafiği bölmeden çalışır ve trafiğe ait tüm paketleri derinlemesine inceler. Paketlerin hangisinin saldırı niteliği taşıdığını, hangisinin zararsız olduğunu tespit ederek ağı koruma altına alır. IPS, saldırıları etkili olmadan önler. Ayrıca daha önceden tespit edilmesi mümkün olmayan saldırıları da algılar.
IPS cihazı genellikle güvenlik duvarının arkasına bağlanır. IPS, paketleri dâhilî ağa ileten iletişim yolunun içindedir.
IPS araçları, imza ve davranış tabanlı olmak üzere iki tür çalışma şekline sahiptir.
İmza Tabanlı IPS: Ağ trafiğini kendi veri tabanındaki saldırılara ait imzalar (kural listeleri) ile karşılaştırır. İmza ile eşleşen veri paketleri tespit edildiğinde trafik akışı engellenir.
Davranış Tabanlı IPS: Ağdan farklı zamanlarda alınan trafik örnekleri, ağın normal davranışına göre istatiksel sapmalar oluşturursa anomali olarak sınıflandırılır. Bu çalışma şeklinde saldırı içermeyen trafikler de engellenebilir.
Saldırı tespit ve önleme sistemleri, yazılımsal veya donanımsal olarak üretilen güvenlik sistemleridir. IPS ve IDS cihazları bir arada kullanıldığında IDPS (Intrusion Detection and
Prevention Systems) olarak tanımlanır. Gelişmiş sistemlerde IPS ve IDS bütünleşik olarak kullanılır.
Bal Küpü (Honeypot)
Bal küpü, saldırgan hakkında bilgi toplamaya yarayan tuzak sunucudur. Öngörülebilir kötü niyetli davranışları sergileyerek saldırganın dikkatini çeker. Bal küpünde saldırganın davranışı
yakalanır, günlüğe kaydedilir ve analiz edilir. Bunun sonucunda ağ yöneticisi daha fazla bilgi elde edebilir, daha iyi bir savunma gerçekleştirebilir. Honeypot; saldırıları tespit etmek, yavaşlatmak,
gerçek sistemi gizlemek için kullanılan bir teknolojidir.
Ağ Trafiğinin Kontrol Altına Alınması
Gelen ve giden ağ trafiğinin kontrol altına alınması, ağ güvenliğinin sağlanması için güvenlik duvarı (firewall) kullanılması oldukça önemlidir. Güvenlik duvarı, haricî ağdan gelen ve istenmeyen trafiği engeller. Bazen güvenlik duvarından geçen trafikte istenmeyen paketler olabilir. Bu nedenle güvenlik duvarları saldırı tespit ve önleme sistemleri ile desteklenmelidir.
Güvenlik Duvarı (Firewall)
Güvenlik duvarı genellikle ağın ve bilgisayarların yetkisiz erişimlerden korunmasını sağlayan yazılım veya donanım olarak tanımlanmaktadır. Yapılarına göre güvenlik duvarı türleri aşağıda verilmiştir.
Yazılımsal Güvenlik Duvarı: Daha çok ev ve küçük ofislerde internet güvenliğini sağlamak, son kullanıcı cihazlarını zararlı yazılımlardan korumak amacı ile kullanılmaktadır. Windows için
Defender, Linux için IPTables yazılımsal güvenlik duvarı örnek olarak verilebilir.
Donanımsal Güvenlik Duvarı: Ağı korumak için ek güvenlik sunan cihazlardır. Ayrı bellek ve işlemci kullanan bu cihazlar, yüksek bant genişliğinde çalışabilir. Daha çok kurumsal ağlarda tercih edilir.
Paket filtrelemeli güvenlik duvarları, router (yönlendirici) ile entegre çalışır. Bu tür güvenlik duvarlarında Erişim Kontrol Listesi (ACL-Access Control List) kullanılır. ACL kullanılarak kurallar
tanımlanır. Güvenlik duvarından geçen her bir pakete bakılır. Ağ trafiği önceden tanımlanmış kurallara uygunsa paketin geçişine izin verilir. Aksi hâlde paket yok edilir. Paket filtreleme, güvenlik duvarının her bir portunda dışarıya çıkış veya içeriye giriş yönünde uygulanabilir.
Birleşik Tehdit Yönetimi (UTM)
UTM (Unified Threat Management), her türlü tehdidi tek cihazla engelleyebilen birleşik güvenlik sistemidir. UTM cihazları temelde güvenlik duvarı olarak çalışır. Gelen ve giden ağ trafiğini kontrol ederek istenmeyen durumları engeller. Bu cihazlar ayrıca IPS/IDS, web filtreleme, içerik filtreleme, spam e-posta filtreleme, casus yazılım önleme, anti-virüs, VPN ve log tutma
hizmetlerini de gerçekleştirir.
Yeni Nesil Güvenlik Duvarı (NGFW)
NGFW (Next Generation Firewall); DLP, IPS, IDS, içerik filtreleme gibi güvenlik sistemlerini tek bir yapıda toplayan kapsamlı ve tümleşik bir cihazdır. Bu cihazların en önemli özelliği kimlik
denetimidir. Kimlik denetimi, sistemdeki kullanıcının IP adresi değişse de aynı yetkilerle ağa ulaşabilmesini sağlar. Bunlar, port üzerinde çalışan uygulama ve cihazların kontrolünü yapar. Her
türlü ağ protokolünü kontrol ederek güvenli bir katman oluşmasına yardımcı olur. Bu sayede karmaşık saldırılar tespit edilip engellenebilir.
Web Uygulama Güvenlik Duvarı (WAF)
WAF (Web Application Firewall); karmaşıklaşan web trafiği üzerinde detaylı inceleme yaparak anormallikleri filtreleyen ve gelen isteklerden saldırgan amaçlı olanları engellemeye çalışan bir
araçtır. WAF, OSI modelinin yedinci katmanında çalışır. HTTP, HTTPS, SOAP, XML, RPC gibi protokoller üzerinde detaylı paket incelemesi yaparak zararlı istekleri bloklar.
Yetkisiz Erişimin Engellenmesi
Yetkisiz erişimin engellenmesi için OSI modelinin veri bağı ve ağ katmanı düzeyinde gerekli
teknikler uygulanmalıdır. Yerel alan ağına bağlanan saldırgan o ağın tüm imkânlarından
yararlanabilir. Kablosuz ağların yaygınlaşması, yetkisiz erişimlerin artmasına neden olmaktadır.
Yetkisiz erişimi engellemek amacıyla veri bağı katmanı seviyesinde alınabilecek önlemler
şunlardır:
• Switch cihazına bağlı bilgisayarları mantıksal olarak gruplandırmak, gruplar arasındaki trafiği sınırlandırmak ve güvenliği artırmak için VLAN oluşturulabilir.
• Switch üzerinde port security yapılandırması gerçekleştirilebilir.
• Switch üzerinde PortFast, Root guard, BPDU guard aktif edilerek STP saldırıları azaltılabilir.
• Switch cihazının sadece gerekli olan portları trunk yapılandırılarak VLAN hopping atakları azaltılabilir.
• Switch cihazının her portu için statik MAC adresler ayarlanabilir.
• Switch cihazının sınırlı sayıda MAC adresini otomatik öğrenmesi ayarlanabilir.
• Kullanılmayan tüm switch portları kapatılıp kullanılmayan bir VLAN’a taşınabilir.
• Switch cihazı fiziksel olarak gizli bir bölmede saklanabilir.
• Kablosuz ağlarda şifreleme ve kimlik doğrulama kullanılabilir.
• Kablosuz ağlarda SSID gizlenebilir.
• Kablosuz erişim noktasının varsayılan parola ve kullanıcı adları değiştirilebilir.
Yetkisiz erişimi engellemek amacıyla ağ katmanı seviyesinde alınabilecek önlemler şunlardır:
• Donanımsal güvenlik duvarı kullanılabilir.
• Erişim kontrol listeleri kullanılabilir.
• Saldırı tespit ve önleme sistemleri kullanılabilir.
• Sanal Özel Ağ (VPN) kullanılabilir.
Ağ saldırılarına neden olan etkenlerden bazıları şunlardır:
• Ağ cihazlarının eksik veya yanlış yapılandırılan konfigürasyonları
• Ağ cihazlarının varsayılan olarak bırakılan ayarları
• Ağ ve son kullanıcı cihazlarının zafiyetleri
• TCP/IP protokol (TCP, ARP, ICMP, DHCP, DNS vb.) zafiyetleri
• Zamanında yapılmayan işletim sistemi ve firmware güncellemeleri
• Yazılım açıkları
• Sıfır gün (zero day) açıkları
• P2P dosya paylaşım ağ bağlantıları
• Şifreleme kullanılmayan veri aktarımları
• Halka açık kablosuz ağlar
• Zararlı yazılımlar
• Son kullanıcı zafiyetleri
• Ağ ve sistem yöneticilerinin ihmali
Ağ saldırılarını algılama ve önleme teknikleri, kurumların KVKK kapsamındaki tedbirleri almasında önemli bir yere sahiptir. IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) bu tekniklerin yerine getirilmesinde kullanılan araçlardır.
Saldırı Tespit Sistemi (IDS)
IDS; ağdaki tüm trafiği sürekli dinler, veri paketine bakar, saldırı olarak tanımlanan işlemleri tespit ettiği an uyarı sistemi aracılığıyla sistem yöneticisine veya SIEM sistemine bilgi (alarm) verir.
SIEM sistemine gelen alarmlar bazen hatalı olabilir. SIEM (Security Information and Event Management) bu alarmları analiz edip hangilerinin hatalı, hangilerinin hatasız olduğunu belirlemeye çalışır. Sistem yöneticileri de uyarılara göre gerekli önlemleri alarak saldırıları engelleyebilir. IDS, dinlediği trafiğin kaydını tutabilir ve rapor oluşturabilir.
IDS cihazı genellikle switch (anahtar) cihazına bağlanır. IDS switch cihazına bağlanırken SPAN portunu kullanır.
SIEM, Güvenlik Bilgisi ve Olay Yönetimi Sistemi olarak tanımlanır. SIEM, ağ saldırılarını daha hızlı bir şekilde tespit edebilmek için ağdaki güvenlik cihazlarında tutulan bütün logları toplayan, analiz eden ve gerektiğinde uyarı veren bir yazılımdır.
IDS araçları, imza ve davranış tabanlı olmak üzere iki tür çalışma şekline sahiptir.
İmza Tabanlı IDS: Dinlediği ağ trafiğini kendi veri tabanındaki saldırılara ait imzaları (kural listeleri) sorgulayarak karşılaştırır. Bunun sonucunda alarm verip vermeyeceğini kararlaştırır.
İmzaların bulunduğu veri tabanı sürekli güncel tutulmalıdır.
Davranış Tabanlı IDS: Normal davranışa sahip trafiği analiz ederek dinlediği ağ trafiği ile karşılaştırır. Dinlenen trafik, normal davranışa sahip trafiğe benzemiyorsa anomali olarak
sınıflandırılır.
Saldırı Önleme Sistemi (IPS)
IPS, üzerinden geçen trafiği bölmeden çalışır ve trafiğe ait tüm paketleri derinlemesine inceler. Paketlerin hangisinin saldırı niteliği taşıdığını, hangisinin zararsız olduğunu tespit ederek ağı koruma altına alır. IPS, saldırıları etkili olmadan önler. Ayrıca daha önceden tespit edilmesi mümkün olmayan saldırıları da algılar.
IPS cihazı genellikle güvenlik duvarının arkasına bağlanır. IPS, paketleri dâhilî ağa ileten iletişim yolunun içindedir.
IPS araçları, imza ve davranış tabanlı olmak üzere iki tür çalışma şekline sahiptir.
İmza Tabanlı IPS: Ağ trafiğini kendi veri tabanındaki saldırılara ait imzalar (kural listeleri) ile karşılaştırır. İmza ile eşleşen veri paketleri tespit edildiğinde trafik akışı engellenir.
Davranış Tabanlı IPS: Ağdan farklı zamanlarda alınan trafik örnekleri, ağın normal davranışına göre istatiksel sapmalar oluşturursa anomali olarak sınıflandırılır. Bu çalışma şeklinde saldırı içermeyen trafikler de engellenebilir.
Saldırı tespit ve önleme sistemleri, yazılımsal veya donanımsal olarak üretilen güvenlik sistemleridir. IPS ve IDS cihazları bir arada kullanıldığında IDPS (Intrusion Detection and
Prevention Systems) olarak tanımlanır. Gelişmiş sistemlerde IPS ve IDS bütünleşik olarak kullanılır.
Bal Küpü (Honeypot)
Bal küpü, saldırgan hakkında bilgi toplamaya yarayan tuzak sunucudur. Öngörülebilir kötü niyetli davranışları sergileyerek saldırganın dikkatini çeker. Bal küpünde saldırganın davranışı
yakalanır, günlüğe kaydedilir ve analiz edilir. Bunun sonucunda ağ yöneticisi daha fazla bilgi elde edebilir, daha iyi bir savunma gerçekleştirebilir. Honeypot; saldırıları tespit etmek, yavaşlatmak,
gerçek sistemi gizlemek için kullanılan bir teknolojidir.
Ağ Trafiğinin Kontrol Altına Alınması
Gelen ve giden ağ trafiğinin kontrol altına alınması, ağ güvenliğinin sağlanması için güvenlik duvarı (firewall) kullanılması oldukça önemlidir. Güvenlik duvarı, haricî ağdan gelen ve istenmeyen trafiği engeller. Bazen güvenlik duvarından geçen trafikte istenmeyen paketler olabilir. Bu nedenle güvenlik duvarları saldırı tespit ve önleme sistemleri ile desteklenmelidir.
Güvenlik Duvarı (Firewall)
Güvenlik duvarı genellikle ağın ve bilgisayarların yetkisiz erişimlerden korunmasını sağlayan yazılım veya donanım olarak tanımlanmaktadır. Yapılarına göre güvenlik duvarı türleri aşağıda verilmiştir.
Yazılımsal Güvenlik Duvarı: Daha çok ev ve küçük ofislerde internet güvenliğini sağlamak, son kullanıcı cihazlarını zararlı yazılımlardan korumak amacı ile kullanılmaktadır. Windows için
Defender, Linux için IPTables yazılımsal güvenlik duvarı örnek olarak verilebilir.
Donanımsal Güvenlik Duvarı: Ağı korumak için ek güvenlik sunan cihazlardır. Ayrı bellek ve işlemci kullanan bu cihazlar, yüksek bant genişliğinde çalışabilir. Daha çok kurumsal ağlarda tercih edilir.
Paket filtrelemeli güvenlik duvarları, router (yönlendirici) ile entegre çalışır. Bu tür güvenlik duvarlarında Erişim Kontrol Listesi (ACL-Access Control List) kullanılır. ACL kullanılarak kurallar
tanımlanır. Güvenlik duvarından geçen her bir pakete bakılır. Ağ trafiği önceden tanımlanmış kurallara uygunsa paketin geçişine izin verilir. Aksi hâlde paket yok edilir. Paket filtreleme, güvenlik duvarının her bir portunda dışarıya çıkış veya içeriye giriş yönünde uygulanabilir.
Birleşik Tehdit Yönetimi (UTM)
UTM (Unified Threat Management), her türlü tehdidi tek cihazla engelleyebilen birleşik güvenlik sistemidir. UTM cihazları temelde güvenlik duvarı olarak çalışır. Gelen ve giden ağ trafiğini kontrol ederek istenmeyen durumları engeller. Bu cihazlar ayrıca IPS/IDS, web filtreleme, içerik filtreleme, spam e-posta filtreleme, casus yazılım önleme, anti-virüs, VPN ve log tutma
hizmetlerini de gerçekleştirir.
Yeni Nesil Güvenlik Duvarı (NGFW)
NGFW (Next Generation Firewall); DLP, IPS, IDS, içerik filtreleme gibi güvenlik sistemlerini tek bir yapıda toplayan kapsamlı ve tümleşik bir cihazdır. Bu cihazların en önemli özelliği kimlik
denetimidir. Kimlik denetimi, sistemdeki kullanıcının IP adresi değişse de aynı yetkilerle ağa ulaşabilmesini sağlar. Bunlar, port üzerinde çalışan uygulama ve cihazların kontrolünü yapar. Her
türlü ağ protokolünü kontrol ederek güvenli bir katman oluşmasına yardımcı olur. Bu sayede karmaşık saldırılar tespit edilip engellenebilir.
Web Uygulama Güvenlik Duvarı (WAF)
WAF (Web Application Firewall); karmaşıklaşan web trafiği üzerinde detaylı inceleme yaparak anormallikleri filtreleyen ve gelen isteklerden saldırgan amaçlı olanları engellemeye çalışan bir
araçtır. WAF, OSI modelinin yedinci katmanında çalışır. HTTP, HTTPS, SOAP, XML, RPC gibi protokoller üzerinde detaylı paket incelemesi yaparak zararlı istekleri bloklar.
Yetkisiz Erişimin Engellenmesi
Yetkisiz erişimin engellenmesi için OSI modelinin veri bağı ve ağ katmanı düzeyinde gerekli
teknikler uygulanmalıdır. Yerel alan ağına bağlanan saldırgan o ağın tüm imkânlarından
yararlanabilir. Kablosuz ağların yaygınlaşması, yetkisiz erişimlerin artmasına neden olmaktadır.
Yetkisiz erişimi engellemek amacıyla veri bağı katmanı seviyesinde alınabilecek önlemler
şunlardır:
• Switch cihazına bağlı bilgisayarları mantıksal olarak gruplandırmak, gruplar arasındaki trafiği sınırlandırmak ve güvenliği artırmak için VLAN oluşturulabilir.
• Switch üzerinde port security yapılandırması gerçekleştirilebilir.
• Switch üzerinde PortFast, Root guard, BPDU guard aktif edilerek STP saldırıları azaltılabilir.
• Switch cihazının sadece gerekli olan portları trunk yapılandırılarak VLAN hopping atakları azaltılabilir.
• Switch cihazının her portu için statik MAC adresler ayarlanabilir.
• Switch cihazının sınırlı sayıda MAC adresini otomatik öğrenmesi ayarlanabilir.
• Kullanılmayan tüm switch portları kapatılıp kullanılmayan bir VLAN’a taşınabilir.
• Switch cihazı fiziksel olarak gizli bir bölmede saklanabilir.
• Kablosuz ağlarda şifreleme ve kimlik doğrulama kullanılabilir.
• Kablosuz ağlarda SSID gizlenebilir.
• Kablosuz erişim noktasının varsayılan parola ve kullanıcı adları değiştirilebilir.
Yetkisiz erişimi engellemek amacıyla ağ katmanı seviyesinde alınabilecek önlemler şunlardır:
• Donanımsal güvenlik duvarı kullanılabilir.
• Erişim kontrol listeleri kullanılabilir.
• Saldırı tespit ve önleme sistemleri kullanılabilir.
• Sanal Özel Ağ (VPN) kullanılabilir.
