Bildiğiniz gibi IT için güvenlik tehditleri her geçen gün artmaktadır. Bu güvenlik tehditlerini önlemek için güvenlik gelişmişliğini de arttırmak gerekiyor. Bunun sonucunda yüksek maliyet ve iş yükü gerekebilir. Bütün bu karmaşıklığı gidermenin en iyi ve kolay çözümü yeni nesil UTM Firewall gateProtectir. gateProtect, ağ güvenliği konusunda IT çözümleri sunan benzersiz bir üründür. Neler sunuyor bize bu gateProtect diye sorarsanız; cevabım şu şekilde olur: güvenlik duvarı, köprüleme, VLAN, çoklu ortam açma, trafik şekillendirme, web filtresi (içerik ve URL filtreleme), Qos, IPSec / SSL(x.509), IDS/IPS, antivirüs, anti spyware, antiphising, Messenger ve Skype konuşma filtresi, istenmeyen spam mailleri algılama ve engelleme, HTTPs Proxy, VPN şifreleme ve daha fazlasını sunuyor.

Benzersiz ve patentli eGUI teknolojisi sayesinde, devrim niteliğinde görsel tabanlı arayüz sunar. ISO 9241 standartlarına uygun tek üreticidir. ISO 9241, kolay kullanılabilirlik ve yönetilebilirlik anlamına gelir. eGUI teknolojisi sayesinde, IT güvenliği artar. Aynı zamanda sistemlerin bakımı kolaylaşır ve IT hataları en aza indirgenir. Böylece zaman ve işletme maliyetlerinde tasarruf sağlanmış olur.

Size gateProtecet’in sunduğu özelliklerden kısaca bahsetmek istiyorum.

Güvenlik Duvarı: gateProtect, meydana gelen ağ saldırını tespit etmek ve önlemek için eşsiz bir koruma sağlar. Ağ trafiği belirli algoritmalar ve saldırı modellerini kullanarak sürekli kontrol eder. Bu ağ protokolleri (TCP, UDP, IP, ICMP, SSL, SSH, HTTP ve ARP) gibi güvenlik açıklarını sağlar.

Web Filtreleme: , gateProtect anti-virüs ve gateProtect spam koruma özellikleri ile birlikte, phishing, malware,adware ve çok daha fazlasına karşı kapsamlı bir düzeyde koruma sağlar. gateProtect Web filtreleme 64 farklı kategori kullanır ve maksimum düzeyde koruma sağlar. Dilerseniz içerik bazlı dilerseniz URL bazlı filtreleme yapabilirsiniz.

Antivirüs/Spyware/Malwre Koruması ve HTTPs Taraması: Tüm ağ için kapsamlı bir koruma düzeyini garanti altına almak için, tüm e-posta ve web trafiği gateProtect anti-virüs çözümü ile ağ geçidi üzerinde doğrudan tarar. Aynı zamanda HTTPs sayfaların taramasını bile içerir. Bu sayede ciddi bir tehdit veya kötü amaçlı yazılım ağa girmeden engellenebilir. Bu çözüm, malware, virüsler, solucanlar, trojenler ve hatta key loggerlar,casus yazılımları ve adware olmak üzere tüm ortak formlar için gerçek zamanlı koruma sağlar. gateProtect anti-spam olarak Comtouch yazılımını, antivirüs olarak da Kaspersky yazılımını kullanır.

VPN sihirbazı (IPSec ve SSL için): gateProtect, site to site ve client to site VPN bağlantılarını IPSec ve SSL yoluyla bütün ortak formlarda destekler. Uzak kullanıcılar, herhangi bir kısıtlama olmadan diledikleri yerden SSL ile çalışırken tüm hizmetlerden faydalanabilecektir.

Trafik Şekillendirme: Bu özellik sayesinde internet bant genişliğini kontrol altına alabilirsiniz. Maksimum ve minimum bant genişliği her bir kullanıcı için düzenlenebilir. Dilerseniz bu düzenlemeleri servis düzeyinde de yapabilirsiniz. Download ve upload sınırlarını belirleyebilirsiniz.

Monitoring: Bu özellik sayesinde, network kartınızı, sabit disklerinizi, ağ trafiğinizi, Vpn bağlantılarını ve kullanıcıları izleyebilirsiniz.

Ayrıca gateProtect ile kullanıcıların girdiği web sayfalarını tarih ve süre olarak izleyebilirsiniz. Kullnacıların hangi servisleri kullandığını, hangi kullanıcının ne kadar veri kullandığını görebilirsiniz ve bunu kontrol altına alabilirsiniz. IPS/IDS saldırılarının istatistiklerini de görebilir ve raporlayabilirsiniz.

Command Center: Bu özellik sayesinde 500 adet gateProtect cihazınızı merkezi olarak yönetebilirsiniz. Özellikle birden fazla şubesi olan şirketler için vazgeçilmez bir özelliktir. Bu sayede maliyeti ve hataları azaltır, zamandan kazanmış olursunuz. Command Center aşağıdaki özellikleri bize sağlar.

- izleme/raporlama,

-Yedekleme yönetimi

-Lisans yönetimi

-Vpn kurulumu

Kurulum: Bu bölümde sizlere cihaza yazılımın yüklenmesi ile ilgili bilgi aktaracağım.

Öncelikle https://www.gateprotect.com/mygateprotect/ adresinden kullanıcı adı ve şifre ile giriş yaptıktan sonra Downloads->Firewall seçeneğini tıklanıldığında USB-Stick 9.0 bootable yazılımını indirmemiz gerekiyor. Bilgisayarımıza en az 4 GB’lık bir flash bellek taktıktan sonra yazılımı çalıştırıyoruz. Burada sizlere önemli bir uyarı vermek istiyorum. Yazılım flash belleğinize format atacaktır, bu yüzden verilerinizi önceden yedekleyiniz.

Cihazımıza yazılımı yüklememiz için http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html adresinden “PuTTY” yazılımını indirmemiz gerekiyor.

Cihazımızla birlikte gelen Com port bağlantı kablosunu bilgisayarın Com portuna ve cihazımızın RJ45 ethernet girişine bağlıyoruz.

Daha önce yazılımı yüklediğimiz flash belleğimizi bilgisayara takıyoruz ve PuTTY programını çalıştırıyoruz. Conenction type “ serial” olarak işaretliyoruz ve “Open “butonuna tıklıyoruz.

Cihazımızın güç düğmesine bastığımızda karşımıza aşağıdaki gibi sistem bilgisi gelecektir.

Yazılım yüklenmeye başlayacaktır ve karşımıza Lisans Sözleşmesi gelecektir.Klavyeden “Next” butonuna basıyoruz.

“Next” dedikten sonra karşımıza Lisans sözleşmesini kabul edip etmediğimizi soran bir pencere açılacaktır. “Yes” butonunu seçiyoruz.

Sözleşmeyi kabul ettikten sonra karşımıza cihazın sabit diskleri ve network arayüz kartları ile ilgili bilgiler sunulacaktır. “Next” butonunu seçiyoruz.

Karşımıza çıkan ekranda yeni kurulum veya yapmış olduğumuz kurulumu yedekleme ile ilgili seçenekler çıkacaktır. Biz yeni kurulum yapacağımız için “New installation” seçeneyini seçiyoruz.

Karşımıza çıkan ekranda eğer firewall-serverda iki tane hardisk varsa, yazılımı software-raid olarak yükleyebileceğimizi belirtmektedir. GPZ 1000 ve üzeri modellerde iki adet harddisk bulunuyor. Biz birinci harddiski seçiyoruz ve “Next” diyoruz.

Aşağıdaki ekranda network arayüzü ayarları yapılmaktadır. İsterseniz elle şirketinizin yapısına göre IP adreslerini yazabildiğiniz gibi “F12” tuşuna basarak da otomatik olarak gateProtect sizin için alanları aşağıdaki gibi dolduracaktır. “Next” butonuna basıp ilerliyoruz.

Yapılandırma başarıyla tamamlandıktan sonra Hostname/domain name ve Password bilgilerini doldurduktan sonra “Next “diyoruz.

Daha sonra karşımıza aşağıdaki uyarı gelecektir. gateProtect ‘in harddisk içindeki tüm verileri silinecektir. Kurulama başlamak için “Install” seçeneğine basınız. Aksi takdirde PC’nizi yeniden başlatınız.

“Install” dedikten sonra karşımıza cihazın hard diskinin silineceği ile ilgili bir uyarı gelecektir. “Yes” diyoruz ve devam ediyoruz.

Daha sonra karşımıza kurulum süreci ile ilgili bilgiler gelecektir. Bu bilgiler sırasıyla; hard diskin bölümlenmesi ve formatlanması, firewall kurulumu ve yapılandırması, boot yapılandırması.

Daha sonra yukarıda bahsetmiş olduğum işlemlerin tamamlandığına dair bilgiler gelecektir. “Next” diyoruz.

Bir sonraki adımda kurulum tamamlanacaktır. Flash belleğinizi çıkarın ve gateProtect cihazınızı ”Reboot” seçeneğine basarak yeniden başlatınız.

Son olarak cihaz yeniden başladıktan sonra karşınıza aşağıdaki görüntü gelecektir.

Böylelikle gateProtect yazılımını başarıyla tamamlamış olduk. http://www.gateprotect.com/en-GB/downloads/management-tools.html adresinden “Administration Client” yönetim panelini indirip bilgisayarınızdan giriş yaptığınız zaman cihazın arayüzüne bağlanabilirsiniz. Kullanıcı adı ve şifre bilgileri default olarak “admin” dir.

Merhaba arkadaşlar bu makalemizde Pfsense update konusunu işleyeceğiz. Eğer daha önceden yapınız içerisine Pfsense nin önceki sürümlerini kurduysanız ve son sürüme geçmek gibi bir düşünceniz varsa bunu direk pfsense dashboard üzerinden gerçekleştirebilirsiniz. Benim senaryomda Pfsense 2.0 RELEASE (i386) yani bir önceki sürümü olan 32 bit lik sürümünü Pfsense 2.0.1 RELEASE (i386) sürümüne yükselteceğiz. Bundan önce muhakkak Pfsense yi backup lamanızı öneririm. Güncelleme sonrasında yaşanacak her hangi bir sıkıntıdan dolayı pfsense makinenizin çökmesi ihtimalini göz önünde bulundurmamız gerekmekte aksi taktirde yaşanacak bir sıkıntıda pfsense makinemizi tekrar konfigure etmemiz gerekebilir. Buda bizim için zaman kaybı olarak artı bir iş yükü çıkaracak ve yapımız içerisinde olan tüm clientlerimiz bu zaman zarfında internete çıkamayacaklar bu da tüm işlerin aksamasına neden olacaktır. İsterseniz Pfsense Update işlemine geçebiliriz.

Pfsense Update-01

Pfsense arayüzüne baktığımızda version bilgisisi olarak 2.0- Release (i386) versiyonunu kullandığımızı görebilirsiniz. Update işlemini başlatabilmek için Update available. Click here tıklamamız gerekmekte Update available bize yeni bir güncellemenin mevcut olduğunu belirtiyor. Click Here tıklayalım.

Pfsense Update-02

Yukarıda ki ekranı inceleyecek olursak -1 adımda Auto Update tabında bulunan Invoke Auto Upgrade yeni güncelleştirmeleri çağırıyoruz.

Pfsense Update-03

Altı kırmızı ile çizili olan Update cannot continue. You can disable this check on the updater settings tab. Yani güncellemelere devam edemediğini ve Updater settings tabına geçmemizi ve gerekli izinlerin verilmesini belirtmekte.

Pfsense Update-04

Yukarıda ki ekranda Updater Settings tabına geldik. Görüldüğü gibi her hangi bir yapılandırma mevcut değil. İsterseniz bir sonra ki şekle geçerek gerekli yapılandırmaları yapmaya başlayabiliriz.

Pfsense Update-05

Yukarıda ki şekle bakacak olursak -1 adımda Default Autı Update URLs bölümünde yükseltmek istediğimiz. Sürümü 64 bit mi yoksa 32 bit olarak mı yükselteceğimizi sormakta makalemizin başında belirttiğim gibi 32 bit bir pfsense kullandığım için yine Pfsense 32 bit yani pfsense i386 stable updates (kararlı güncelleme) seçiyorum. -2 adımda Firmware Auto Update URL (Firmware otomatik güncelleme) otomatik olarak seçilmekte -3 adıma bakacak olursak Unsigned images (imzasız imaj) eğer indirdiğimiz sürüm pfsense tarafından imzalı değilse yine de indirebileceğini belirtiyoruz. Son adımda ise Save diyerek yaptığımız yapılandırmayı kaydediyoruz.

Pfsense Update-06

Tekrar AutoUpdate tabına gelerek Invoke Auto Upgrade tıklıyoruz. Otomatik güncellemeleri çağırıyoruz. Yukarıda ki ekranda görüldüğü gibi update image sini indirmeye başlıyoruz. İndireceğimiz ve daha önceki versiyon bilgilerini de yine yukarıda ki ekranda görmemiz gerekmekte.

Pfsense Update-07

Artık yeni updates (güncellemeleri) indirmeye başladık. Yukarıda ki ekranda indirdiğimiz update paketinin boyutlarını görebiliriz.

Pfsense Update-08

Pfsense makineme tekrar dönüyorum. Görüldüğü gibi pfsense makinem benim yaptığım aksiyonlardan etkileniyor ve yaptığı işlemler hakkında ekranda bilgiler vermeye başlıyor. Upgrade işlemi bittikten sonra makinemizi yeniden başlatıyor. Bu işlemler pfsense tarafından otomatik olarak gerçekleşmekte.

Pfsense Update-09

Yukarıda ki ekranda The firewall will reboot once the operetion is completed. Upgrade işlemi gerçekleştikten sonra pfsense makinemizin yeniden başlayacağını belirtiyor.

Pfsense Update-10

Pfsense upgrade dosyalarını indirerek dosyaları çıkarttığını görebiliriz.

Pfsense Update-11

Görüldüğü gibi artık pfsense makinemizi Pfsense 2.0 RELEASE (i386) yani bir önceki sürümü olan 32 bit lik sürümünü Pfsense 2.0.1 RELEASE (i386) sürümüne yükseltik. Pfsense makinemiz artık başladı.

Pfsense Update-12

Pfsense dashboard (pfsense panele) döndüğümüzde artık pfsense versiyonumuzun 2.0.1-RELEASE (i386) sürümüne yükselttiğimizi görebiliriz. Bu da güncellemelerimizi başarılı bir şekilde tamamladığımızı göstermekte. Bu makalemde sizlere Pfsense Update işleminin ne kadar kolay olduğunu göstermeye çalıştım. Umarım sizler için faydalı olmuştur. Başka makalelerde tekrar görüşmek ümidiyle…

Günümüzde Bilişim sektöründe çalışan insanların büyük kısmı 7/24 acil durumlarda şirketiyle bağlantı kurması gerekmektedir. Şirket dışında olduğumuz zamanlarda acil durumlarda Cep telefonlarımız ile güvenli bir şekilde şirket ağına dahil olabilir, sorunlarımızı çözebiliriz. Öncelikle bunun için IPsec destekleyen telefon kullanmamız yeterlidir. Ben konfigürasyonu Apple Iphone üzerinden yapacağım.

Policy Manager i açıyoruz Resimde görüldüğü gibi Vpn/ Mobil VPN / IPsec Tabını açıyoruz.

Gelen ekrana next diyoruz.

Authentication Server ımız Firebox-DB olacak. Burada İstediğimiz grup ismini veriyoruz. Next ile devam ediyoruz.

Burada oluşturacağımız Tunnel için şifre belirleyip next diyoruz. Mobil cihazımızı ayarlarken bunu kullanacağız.

Tüm Trafiği tünelden akış için zorla kısmını seçip next diyoruz.

İşyerine bağlanacağımız ip bloğunu seçiyoruz. Ben herhangi bir aralık belirtmedim Next diyoruz

Bağlandığımızda alacağımız ip aralıgını belirliyoruz. Ben local ağımdan farklı bir grup tanımladım Setup/configuration /trusted /secondary bölümüne bir kaç tane network daha tanımladım oradan bir aralık verdim.

Ve tanımlamış olduğumuz grup için kullanıcı ekle kısmını seçip finish diyoruz. Burada ister var olan bir kullanıcıyı ya da yeni kullanıcı oluşturarak grubumuzun üyesi yapıyoruz. Ben yeni kullanıcı ekliyorum. Add kısmına tıklayıp kullanıcı Adını veriyorum minimum 8 haneli bir şifre verdikten sonra Available kısmındaki grubumuzu members kısmına alıp kullanıcımızı grubumuza üye yapıyoruz.

OK diyoruz ve açılan pencerede tanımlamış oldugumuz IPsec konfigürasyonunu görüyoruz. Burada ayarları şifreleri değiştirebiliriz. Ve iphone için ayar yapmamız gerekecek Android ve windows mobile de farklı olabilir. Ayarları cihaz üreticisinden öğrenebilirsiniz. Iphone için olan ayarları gösteriyorum; ilk olarak kuralımızı editliyoruz. Sarı renk ile belirmiş olduğum yerde iş yerimizin dış ip si var. eğer yedek ip lerimiz varsa onlardan birinide seçebilirsiniz

IPsec tunnel kısmını açıyoruz burada Proposal ı açıyoruz. Encryption modlarımız AES-256 bit olacak. Key experition kilobites 0 olacak. ok diyoruz.

PFS kutucuğundaki tiki kaldırıyoruz. Advanced tabını açıyoruz Hellman-Group-2 olacak SA life 1 saat yapılacak ok diyoruz kapatıyoruz.

Şimdi Policy Manager üzerine geliyoruz tanımladığımız kuraldan dolayı otomatik olarak Watchguard-IPsec kuralı açılacak burada ben ayarlarımı bu şekilde yaptım sürüm farkından dolayı bu kural açılmazsa kendinizde yeni policy ekleyerek packet filters kısmından IPsec kuralını seçip oluşturabilirsiniz. Bununla beraber Authentication serverimiz Firebox-DB olduğu için Watchguard Authentication kuralı policy de ekli olmalıdır.

Firewall üzerinde ayarlarımız bitti şimdi gelelim mobil cihazımıza; Telefonumun Ayarlar / Genel / Ağ kısmına geliyoruz Vpn kısmını açıyoruz.

Vpn konfigürasyonu ekle diyoruz IPsec kısmını açıp açıklamaya herhangi bir isim veriyoruz. sunucu işyerimizin external ip si. Hesap; oluşturduğumuz kullanıcı adı ve parolasını giriyoruz. grup adı IPsec için oluşturduğumuz grup sır: grubun parolası sağ üstten kaydet diyoruz. Geri gelip Vpn i çalıştırıyoruz gördüğünüz gibi bağlandı

Mobil VPN With IPSec konfigürasyonumuz tamamlanmıştır. Neler yaptığıma dair birkaç örnek vermek istiyorum. Şuanda şirketimin local ağına dahil olmuş Telefonumdan yüklü olan Remote Desktop programıyla bilgisayarıma bağlanıyorum masaüstüm ve policy manager kullanmaya alıştıkça çok kolaylaşacak.

openfire servera bağlanabilen bir program ile local ağımızdaki yazışmalara katılabiliyorum

Daha birçok işlem gerçekleştirebiliyorsunuz. Router, Switch, Vmware e bağlanmak vs. yeter ki telefonunuz desteklesin.

Umarım faydalı olur. Paylaşılmayan yeni konfigürasyonlarda görüşmek üzere.

Check Point, dünyanın en önemli firewall üreticileri arasında yer alan bir network güvenlik firmasıdır. OSI tüm katmanlarında güvenlik sağlayabilen Secure Virtual Network teknolojisini kullanmaktadır. Check Point Software Blade R75.X platformu ile firewall ürünlerini network katmanından, uygulama katmanına taşıdı. Gaia için IPSO ile Secure Platform özelliklerini birleştirerek daha sağlam güvenlik özellikleri sunan bir işletim sistemi diyebiliriz.

R75.X Platformu ile gelen yenilikler;

·         Identity Awareness

·         Mobile Access – Uzaktan Bağlantı (VPN) ve Mobile cihaz desteği

·         Mobile Access (iPhone,iPad desteği var)

·         3D Security – Policies, People, Enforce

·         Data Loss Prevention (Exchange ile entegrasyonu yapılabiliyor ve intranette tarama yapabiliyor.)

·         SSL decryption

·         URL Filtering/Application Control (Birlikte çalışıyorlar)

Geliştirilen Özellikler;

·         SmartConsole (Performans)

·         SmartEvent ve SmartView Tracker (Query)

Gaia ile Gelen Yenilikler

·         Geliştirilmiş Web Arayüzü

·         64 bit desteği

·         Entegre ipv6 desteği

·         Role-Based Admin

·         Dynamic Routing Protokolleri

·         VRRP ve SecureXL

·         Gateway Virtualization

·         Software Updates

Check Point Gaia Deployment Metodları

Standalone Deployment

Security Management Server ve Security Gateway’in aynı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.

Distributed Deployment

Security Management Server ve Security Gateway’in farklı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.

Standalone Full HA

Security Management Server ve Security Gateway’in bir appliance üzerinde kurulu olduğu ve iki appliance’ın High Availibility mode’da çalıştırıldığı kurulum türüdür.

Biz bu makale serisinde Distributed Deployment olarak Check Point kurulum işlemlerini gerçekleştireceğiz. İlk olarak Check Point Management kurulumunu, ardından da Security Gateway ürününün kurulumlarını yapacağız.

Başlamadan önce gerçekleştireceğimiz yapılandırmanın için kullanacağımız makinelerin ip yapılandırmaları aşağıdaki gibidir.

Bu makalede Check Point Gaia R75.40 versiyonunu (en güncel versiyon) üzerinden işlemlerimizi gerçekleştireceğiz. İsteğe bağlı olarak RedHat ve Windows işletim sistemleri üzerine de Check Point R75.40 kurulumunu gerçekleştirebiliriz, ancak işletim sistemleri üzerindeki güvenlik açıkları sebebiyle bu tarz kurulumları tercih etmiyorum.

Sistemi Check Point R75.40 Gaia DVD’si ile boot ediyoruz. Welcome to Check Point Gaia R75.40 ekranında Install Gaia on this system’i seçip kurulumu başlatıyoruz.

Kurulumu gerçekleştirmek istiyor musunuz sorusuna tabii ki istiyorum diyerek devam ediyoruz.

Klavye dilini seçiyoruz. Ben bu tür kurulumlarda sorun yaşamamak adına US (ingilizce) klavye seçeneği ile devam ediyorum. )Sql kullanan uygulamalarda yaşanan sorunlardan kaynaklı alışkanlık diyebiliriz. J )

Partitions Configuration bölümünde system-swap, system root,log ve backup dosyaları için ne kadarlık bir alan ayırmak istediğimiz belirledikten sonra devam ediyoruz. Bu adımı default ayarları kabul ederek geçebilirsiniz.

Gaia ile gelen yeniliklerden birisi de burada karşımıza çıkıyor. Önceden kurulum sırasında şifre oluşturmuyorduk ve default parola : admin olarak geliyordu.

Gaia’da ise kurulum sırasında admin şifresini belirliyoruz.

Management için kullanacağımız ip adresini atayacağımız network adaptörü seçiyoruz. Ben eth0’ı seçiyorum.

Kurulum sonrasında web management arayüzüne erişim için kullanacağımız ip adresini yazıyoruz.

Diskimizin formatlanacağını ve bunu onaylayıp onaylamadığımızı soruyor. Formatla gitsin diyerek devam ediyoruz.

Check Point Gaia işletim sisteminin kurulumu tamamlandıktan sonra sistemi yeniden başlatmamızı söyleyen bu ekrana tamam isteklerin bizim için emirdir diyoruz.

Ayrıca sistem yeniden başladıktan sonra web management arayüzüne erişebileceğimiz ip adresi bilgisi de bu ekranda belirtiliyor.

Sırada Security Management kurulumu ve konfigürasyon işlemleri var.

Sistem yeniden başlatma işlemi tamamlandıktan sonra default kullanıcı adı olan admin ve kurulum sırasında belirlediğimiz parola ile giriş yapıyoruz.

Web arayüzünde de değişikliklerin yaşandığını hissettiren bir wizard bizi karşılıyor.

Tarih ve saat bilgilerinin düzenleyip devam ediyoruz.

Check Point Gaia için host name, domain name, dns bilgilerini giriyoruz.

Interfaces için ip adresi bilgisini giriyoruz. İstenirse burada dhcp’den ip alınması da sağlanabilir.

Security Management or Security Gateway seçeneğini işaretleyip yolumuza devam ediyoruz.

Product kısmında isterseniz Security Gateway ve Security Management’ı seçip bir kurulum gerçekleştirebilirsiniz. Ben bu makalede Security Management’ı ayrı servera, Security Gateway’i ayrı servera kuracağım için Security Management’ı seçiyorum.

Administrator adını ve şifresini belirleyip ilerliyoruz.

Security Management web arayüzünde login olabileceğimiz seçenek olarak this machine’i seçiyorum.

İsterseniz herhangi bir ip adresinden, isterseniz belirleyeceğiniz bir network’ten, isterseniz belirleyeceğiniz bir ip aralığından web arayüzü için erişim izni verebilirsiniz.

Finish butonuna tıkladığımızda yapılandırma işlemi başlayacak devam etmek istiyor musunuz diye soruyor. Devam etmeyeceksek bu işlemleri niye yaptık arkadaş diyoruz. J

Ve yapılandırma işlemlerini başarıyla tamamladık.

İlk olarak Overview ekranı karşımıza geliyor,sistem ile ilgili özet bilgileri bu ekranda görüyoruz.

Network Management

Bu bölümü kullanarak network interface ayarlarımızı gerçekleştirebilir, static arp kayıtları oluşturabilir, DHCP Server yapılandırmasını gerçekleştirebilir, ipv4ipv6 statik routing işlemlerini gerçekleştirebiliriz. Ayrıca Host name, domain name ve dns bilgilerini de bu bölümü kullanarak düzenleyebiliriz.

System Management

Tarih,saat ve bölgesel ayarları, SNMP agent ayarlarını, schedule job ile zamanlanmış işlemleri yaptırabilir, mail ile bildirimler gönderilmesini sağlayabilir,Proxy Server ayarlarını yapabilir, Banner mesajını düzenleyebilir, session timeout süresini belirleyebilir, ipv6 desteğini açma ve kapatma işlemlerini gerçekleştirebilir, system logları ile ilgili düzenlemeler yapabilir,telnet’i aktifleştirebilir , web arayüzüne bağlanacak kullanıcılara izin verebilir ve kurulum sırasında oluşturulan sertifika bilgisini görüntüleyebiliriz.

Advanced Routing

DHCP Relay ayarlarını yapabilir, BGP yapılandırmasını gerçekleştirebilir, IGMP ayarlarını yapabilir,PIM (Protocol Independent Multicast) ayarını yapılandırabilir, OSPF düzenlemelerini gerçekleştirebilir, BGP ve diğer protokoller için filtreler oluşturabilir, Router Discovery ile ICMP Router Discovery protokolü kullanılarak dinamik olarak clientların tespit edilmesini sağlayabilir, gerçekleştirdiğimiz routing düzenlemelerini monitor edebilir ve policy tabanlı route’lar oluşturabiliriz.

User Management

Bu bölümü kullanarak parola değiştirme, kullanıcı ve role tanımlama işlemlerini gerçekleştirebilir, password policy’ler oluşturabilir, authentication server tanımlaması yapabiliriz.

High Availibility

VRRP ayarlarını, dinamik failover yapılandırmalarını bu bölümden gerçekleştiriyoruz.

Maintenance

Lisans yükleme , upgrade paketlerini yükleyip sistemi upgrade etme, softare update policy belirleme, sistem updatelerini gerçekleştirme, sistemin backup’ını alma gibi işlemleri bu bölümden gerçekleştiriyoruz.

Manage Software Blade using SmartConsole bölümünden Download Now diyerek SmartConsole uygulamasını indiriyoruz.

Smart Console kurulumunu gerçekleştiriyoruz.

Kurulum gerçekleştikten sonra Smart Dashboard uygulamasını çalıştırıyoruz. Check Point Security Management Server’ın ip adresini ve kurulum sırasında tanımladığımız kullanıcı adı ve parolayı girerek SmartDashboard bağlantısını gerçekleştiriyoruz.

Bu fingerprint’in doğruluğunu onaylamamız isteniyor.

Ve işte Check Point Gaia R75.40 , yeniliklerin tanıtıldığı bir Hoşgeldiniz ekranıyla bizi karşılıyor.

Hemen Firewall sekmesine geçerek Network Objects altında Check Point bölümünden HostName kontrolü yapıyoruz.

Evet yolu yarıladığımızı söyleyebiliriz. Sırada Security Gateway kurulumu var. Secure Platform kurulumunu ve sonraki yapılandırmalarının ekran görüntülerini tekrardan eklemeyeceğim. Kurulum sırasında Security Management’ı seçtiğimiz Product Installation ekranına kadar olan bölümü Security Gateway kurulumu için de aynen gerçekleştiriyoruz.

Product Installation ekranına geldiğimizde Security Gateway’ı seçiyoruz.

Gateway için Dynamic IP ataması yapmak istiyor musunuz sorusuna hayır diyoruz.

Burası önemli bir nokta, çünkü bu adımda oluşturacağımız key’i, makalenin ilerleyen bölümlerinde Security Management ve Security Gateway arasında Secure Internal Communication oluşturmak için kullanacağız.

Finish butonu ile işlemimizi tamamlıyoruz.

Check Point Gaia R75.40 ile gelen yeniliklerden, dağıtım yöntemlerinden bahsettikten sonra, Security Management ve Security Gateway kurulumlarını gerçekleştirip, Smart Console kurulumunu tamamladık.

Makalemizin bundan sonraki kısmında, Security Management üzerine Smart Console ile bağlanarak Security Gateway ve Security Management arasındaki Secure Internal Communication düzenlemesini yaparak bu iki ürünün birbirinden haberdar olmalarını sağlayıp, aralarında bir güven ilişkisi (trust) oluşturacağız.Ardından genel olarak firewall üzerinde kural oluşturma mantığından bahsedip, birkaç kural oluşturduktan sonra makalemizi tamamlayacağız.

İlk olarak SmartConsole uygulaması aracılığıyla Check Point Security Management üzerine bağlanıyoruz.

Firewall sekmesini açıp Check Point objesi üzerinde sağ tıklayıp Security Gateway/Management’ı seçiyoruz.

Check Point Security Gateway Creation ekranında Classic mode’u seçerek yapılandırmamıza devam ediyoruz.

Name kısmında Check Point Security Gateway için bir ad belirtiyoruz.

IP Address kısmında ise Gateway ürününe kurulum sırasında verdiğimiz ip adres bilgisini giriyoruz.

Comment kısmına bir açıklama yazmak ise tamamen isteğe bağlıdır.

Secure Internal Communication kısmının altında bulunan Communication butonuna tıklayıp Gateway ve Management arasındaki trust ilişkisinin kurulması için gerekli key bilgisini girip Initialize butonunu tıklayıp Certificate State kısmında Trust established olarak gördüğümüzde bu işlem başarıyla gerçekleşmiş oluyor.

Ve Network Security kısmında Firewall’u seçtikten sonra Topology bölümüne tıklıyoruz.

Not: Aktifleştirmek istediğiniz modülleri Network Security bölümünden seçebilirsiniz. İlgili modülün yönetim kısmı üzerinden de aktifleştirme işlemi gerçekleştirilebilir.

İlk yapılandırma için oldukça önemli bir adımla devam edelim. Check Point Security Gateway üzerinde bulunan network adaptörlerimizden hangisinin internal, hangisinin external, hangisinin dmz olduğunu DOĞRU bir şekilde tanımlamamız oldukça önemli.

Topology kısmından Get butonuna ve ardından Interfaces with topology seçeğine tıklayıp , topolojinin otomatik olarak çıkarılmasını sağlıyoruz.

Bu bölümde topoloji doğru olarak gelmezse network adaptörünün üzerinde edit’i tıklayarak Interface Properties ekranından Topology sekmesine geçiş yaparak network adaptörünün internal mı,external mı yoksa dmz için mi yapılandırılmış olduğunu belirleyebiliriz.

NAT bölümüne geçip, kullanıcılarımızın internete çıkarken Gateway!in arkasından Hide olarak bağlanmasını istediğimizi belirtiyoruz.

Check Point Security Gateway’in de ,SmartDashboard üzerinde yer aldığını görüyoruz. Bu aşamadan sonra Access Rule (erişim kuralı) oluşturmaya başlayabiliriz, ancak öncelikle kural oluşturma ile ilgili bazı bilgiler vermek istiyorum.

Check Point Firewall konfigürasyonunda öncelikle erişim kuralı (Access Rule) kavramının bilinmesi gerekir. Access Rule, Check Point Firewall konfigürasyonu sırasında belirtilen kurallardan her birine verilen addır. Bütün IP trafiğine uygulamak üzere ya da belli bir protokol kümesine uygulamak üzere Access Rule oluşturulabilir.

Access rule elemanları, belirli access rule’ları yaratabilmek için kullanabileceğimiz yapılandırma nesneleridir. Örneğin yalnızca HTTP trafiğine izin verecek bir access rule yaratılabiliriz.

Bazı şirketler, belli kullanıcı ve grupların internet erişimini kısıtlamak isterler. Bunu aktifleştirmek için kural içinde bir network ya da host yaratıp,ardından bu elemanı bir access rule’da, yalnızca belirli subnetteki bilgisayarlar ya da kullanıcılar için internet erişimini kısıtlamak amacıyla kullanılabiliriz.

Bir Access Rule yaratmak için Access rule bileşenlerinin bilinmesi gerekmektedir.

Bir Access Rule şunlardan oluşur.

·         Name (adı)

·         Source (Kaynak)

·         Destination (Hedef)

·         Services (Protokoller)

·         Action (Accept-Drop-Reject)

·         Track

·         Time

Name : Her Access Rule’ın bir adı vardır. Yapılan değişikliğe ilişkin bir isim olması o kural hakkında bilgi sahibi olunması açısından yararlı olur.

Source ve Destination : Kaynak ve hedef network. Access Rule’un hangi network’ler arasında geçerli olacağı belirtilir.

Services : Uygulanacak Access Rule’un hangi Protokoller için geçerli olacağının tanımlandığı bölümdür.

Action : Kuralın izin vereceği accept) ya da bloklayacağı (drop) şeyler bu bölümde belirlenir.

Firewall üzerinde erişim kurallarının değerlendirilmesine en üst sıradaki kuraldan başlanır. Accept ve Drop olarak başlayan kural tanımları firewall üzerinden geçişi tanımlar. Herhangi bir kurala bağlı olarak geçiş yapamayan network trafiği, en altta (varsayım) duran Drop kuralı ile engellenir.

Drop ve Reject seçeneklerinin farkı konusunda şu temel bilgiyi de vereyim:

DROP paket engellenir ve paketi gönderen kişinin gönderdiği paketin engellendiğinden haberi olmaz, REJECT ise paketi engeller fakat paketi gönderen kişiye paketin gönderilmediğini bildirir.

Firewall’lar Üzerinde Kural Oluştururken Dikkat Edilmesi Gereken Genel sıralama:

·         Deny kuralları

·         Spesifik kurallar

·         Genel kurallar

Bu durumda erişim kurallarını oluşturmak için şu şekilde bir sıralama izlenebilir:

1. Belli bilgisayarların ve kullanıcıların Internet erişimini engelleyen ya da kısıtlayan kurallar düzenlenir.

2. Sınırlı Internet erişimi için kural hazırlanır.

3. Bütün kullanıcıların Internet erişimi için kural hazırlanır.

Rule tanımlamadan bu kadar bahsettikten sonra Rule menüsünden Add Rule’u seçerek ilk kuralımızı tanımlayalım.

Bir kural oluşturduktan sonra Policy menüsünden Install seçeneğini kullanmazsak kuralımız devreye girmeyecektir,bu yüzden bir kural oluşturduktan sonra mutkala kuralı Install etmeliyiz.

Policy başarılı bir şekilde kuruldu.

Kuralların oluşturulması, host, network tanımlamaları, port ve protokol tanımlamaları gibi işlemlerle ilgili çok fazla doküman olduğu için makalede bu konulardan bahsetmedim.

Umarım yararlı olmuştur.

Bir önceki makalemizde Check Point Gaia kurulumundan bahsetmiştik. Peki elimizde R75,R75.20,R75.30 versiyonlar var ve biz Gaia’ya upgrade gerçekleştirmek istiyoruz,bunun için neler yapmalıyız, hangi adımları izlemeliyiz, upgrade yöntemleri nelerdir gibi konular bu makalenin konusunu oluşturuyor.

Upgrade işlemine her zaman Security Management ile başlanmalıdır. Yani her zaman “Security Management Version >= Security Gateway Version” olmalıdır.

Check Point upgrade işlemini istersek Web arayüzünden (In Place Upgrade), istersek Central Upgrade (Upgrade paketi sadece Management’a yüklenir) aracılığıyla gerçekleştirebiliriz. Test ortamlarında bu işlemi gerçekleştirmek isteyenler, Web ara yüzünden upgrade işlemini 15 günlük deneme sürümü üzerinden gerçekleştirebilirler. Ancak Smart Update konsolu kullanarak bir ya da daha fazla Security Gateway’i upgrade etmek isteyenler ilgili ürün için geçerli bir Check Point lisansına sahip olmalıdır.

Bu makalede her iki yöntemle de upgrade işleminin nasıl gerçekleştirileceğinden bahsedeceğim.İlk olarak Web arayüzünü kullanarak upgrade işlemini gerçekleştireceğiz. Ancak Upgrade işlemine başlamadan önce Check Point Security Management ve Security Gateway üzerine lisans ekleme işlemlerini gerçekleştirelim, böylce Check Point üzerinde lisans ekleme işleminin nasıl yapılacağını da anlatmış olalım.

Check Point üzerinde lisans eklemek için kullanabileceğimiz 3 yöntem bulunmaktadır.

1. Smart Update aracılığı ile

2. Cpconfig menüsünden Add License seçeneğini kullanarak

3. Cplic Putlic ile

Biz cpconfig komutunu kullanarak lisans ekleme işlemini gerçekleştireceğiz.

Expert komutu ile expert moda geçiş yapıyoruz.

Expert modda iken lisans dosyamızın bulunduğu ftp server üzerine bağlanarak lisans dosyasını check point üzerine alacağız. (ftp server olarak filezilla,babyftp ya da winftp server'ı öneririm.) Ftp üzerinden Check Point Lisans dosyasını almak için expert modda ; ftp 192.168.1.35 (lisans dosyasının olduğu ftp server ip adresi ) yazarak lisans dosyasının bulunduğu ftp’ye bağlanıyoruz. FTP erişimi için gerekli kullanıcı adı ve parolayı giriyoruz.

Get cplicense.lic (lisans dosyasının adı) komutu ile lisans dosyasını check point üzerine aktarıyoruz.

Cpconfig komutu ile Check Point Configuraton menüsüne ulaşıyoruz ve Licenses and contracts seçeneği için 1'e basıyoruz.

İlk olarak Manage Licenses seçeneğini ardından lisans eklemek istediğimizi ve son olarak da lisansı bir dosyadan yüklemek istediğimizi belirten Fetch seçeneğiyle devam edip lisans dosyasının adını yazıp entera diyerek Check Point üzerine lisansımızı yüklemiş oluyoruz.

Lisans yükleme işlemini de tamamladığımıza göre upgrade öncesi Smart Dashboard’a bağlanıp R75.20 konsolunu ve var olan kurallarımızı görüntüleyelim.

Şimdi de Security Management ürününün Web ara yüzünde login olup, Device bölümünden Upgrade seçeneğini tıklayalım. Upgrade Steps kısmının altında yer alan Browse seçeneği ile Check Point Gaia upgrade paketinin bulunduğu DVD sürücüsünü ya da lokasyonu gösteriyoruz.

Upgrade paketinin yüklenmesinin biraz zaman alabileceğini, devam etmek isteyip istemediğimizi soruyor. Tabii ki de devam ediyoruz.

Upgrad dosyası başarılı bir şekilde yüklendikten sonra Start Upgrade butonu ile upgrade işlemini başlatıyoruz. (Upgrade paketi /var/suroot altına yüklenir.)

Upgrade işlemi tamamlandıktan sonra Security Management yeniden başlatılıyor ve herhangi bir sorun çıkmadığı takdirde Security Management ürünümüzün Upgrade işlemi tamamlanıyor.

Security Management üzerinde login olduktan sonra upgrade işleminin gerçekleştiğini görmek için fw ver komutunu çalıştırıyoruz.

Security Management upgrade işlemi tamamlandı ancak Smart Dashboard bağlantısı sağlamak için Smart Console uygulamasının da yeni versiyonunu yüklememiz gerekiyor. Bunun için Security Management ürününün Web arayüzünden login olup Smart Console’u indiriyoruz.

SmartConsole kurulumunu gerçekleştirdikten sonra Check Point Security Management ürününe bağlandığımızda artık R75.40 Gaia üzerinde olduğumuzu ve objelerimizin, kurallarımızın eksiksiz bir biçimde karşımızda olduğunu görüyoruz.

Web arayüzünden Security Management upgrade’ini gerçekleştirdikten sonra Security Gateway’lerimden bir tanesini de Smart Update aracılığı ile upgrade ederek , Central Upgrade işleminin nasıl gerçekleştirileceğinden de bahsetmiş olmak istiyorum.

Smart Update konsolu ile Central Management

Central Upgrade işlemi için Upgrade paketini Smart Update üzerine yüklememiz gerekiyor. Dolayısıyla Smart Update uygulamasını (Smart Dashboard=>Window=>Smart Update)açtıktan sonra Packages menüsünden Add seçeneğini ve From File’ı tıklayıp, upgrade dosyasının bulunduğu yeri gösteriyorum.

Paketimizin Repository’e başarılı bir şekilde yüklendiğini görüyoruz. Bu arada Packages Management konsolunda gördüğünüz gibi Security Management ve Security Gateway (cpsg) ürünlerimde işletim sistemi olarak Gaia, Security Gateway’lerden biri olan (cpsg2) üzerinde ise Secure Platform R75.20 yüklenmiş durumda.

Upgrade işlemini gerçekleştirmek istediğimiz Security Gateway (cpsg2) üzerinde sağ tıklayıp Upgrade all Packages’i seçiyoruz.

Upgrade butonu ile devam etmeden önce buradaki seçenekleri kısaca açıklayalım.

Distribute and Upgrade packages : Upgrade işleminin gerçekleştirileceği ürün üzerine gönderilip ardından da upgrade işleminin gerçekleştirilmesini sağlar.

Only Distribute packages (upgrade later) : Upgrade işleminin gerçekleştirileceği ürünün üzerine gönderilidiği fakat upgrade işleminin gerçekleştirilmediği seçenektir.

Upgrade using previously distributed packages : Daha önceden dağıtılmış bir upgrade paketinin kurulumunun gerçekleştirilmesini sağlar.

Paketin gönderilmeye başladığını görüyoruz.

Paketin dağıtımı ve kurulumu tamamlandıktan sonra sistem yeniden başlatılıyor.

Ve Smart Update aracılığı ile upgrade başarılı bir şekilde tamamlandı.

Umarım yararlı olmuştur.

En değerli varlığımız olan verinin güvenli yöntemlerle işlenmesini sağlamak dikkat etmemiz gereken en önemli noktalardan biridir. Çoğu kurumda, veritabanlarında depolanan bilgiye erişim uygulama sunucuları üzerinde çalışan uygulamalar üzerinden yapılmaktadır.

Bu makalemizde, Java tabanlı uygulamalarda kullanılan SSL Sertifikaların yönetilmesinden bahsedeceğiz. Öncelikle, ssl sertifikalar ile ilgili temel kavramları açıklayarak başlayalım:

Bu ve benzeri tüm tanımlar için ÇözümPark Bilişim Sözlüğünü Kullanabilirsiniz.

http://sozluk.cozumpark.com

CA – Certification Authority : Sertifika Otoritesi, sertifika vermeye yetkili kurum

RA – Registration Authority:  Sertifika talebinde bulunan kişi/kurumun kimlik bilgilerini doğrulayan yerel kurum

CRL - Certificate Revocation List: Sertifikaların geçerlilik sürelerinin takip edildiği liste

Private Key: Kişiye/Kuruma özel, kesinlikle başkalarıyla paylaşılmaması gereken şifreleme anahtarı

Public Key: Kişiye/Kuruma özel, başkalarının da erişebildiği şifreleme anahtarı

Sertifika: Public Key + Dijital İmza

Root ve Intermediate Sertifikalar: Kişi/kurum sertifikasını doğrulamak için kullanılan CA sertifikaları

Dijital İmza: Sertifika talebinde bulunan kişi/kurumun Public Key Hashi’nin CA’in Private Keyi ile şifrelenmesi (imzalanması) işlemi.

CSR – Certificate Signing Request: Private kullanılarak oluşturulacak public key’in CA tarafından imzalanması için gönderilen sertifika imzalama isteği (*.csr)

KeyStore: Private key ve sertifikaları içeren Java’ya özel dosya (*.jks)

TrustStore: Kişi/kurum sertifikalarını doğrulamak için kullanılacak genellikle CA’in root ve intermediate sertifikalarını içeren Java’ya özel dosya(*.jks) .(Internal root CA sertifikalarını da içerebilir)

Java uygulama kodunda kullanılacak SSL sertifikalar, Keystore (*.jks) adı verilen dosyalarda tutulur. Bu sertifikaları doğrulamak için kullanılan CA’in root ve intermediate sertifikalarının uygulama sunucusunda (AS – Application Server) olması gerekir. Bunun için iki yöntem vardır;

1. Manuel olarak oluşturacağımız TrustStore’da
2. Uygulama sunucusunun Default Trustore’unda

Bu makalede, (a.) yöntemi seçilmiştir. Java uygulama kodunda, kullanacağımız sertifikanın KeyStore’da, sertifikamızı doğrulamak için kullanılacak CA root ve intermediate sertifikalarının da manuel yarattığımız TrustStore içinde olduğunu belirteceğiz. (Bknz “İlgili Kod Parçacığı” bölümü).

(b.) yöntemi kullanıldığında, CA’in root ve intermediate sertifikaların uygulama sunucusu yönetim ara yüzünden Default TrustStore’a yüklenmesi gerekir.

Gerçekleştireceğimiz işlemler:

1.)    Keystore ve keystore içinde bir Private Key oluşturulması

2.)    Private key kullanılarak CSR oluşturulması, CSR’ın kontrol edilmesi ve imzalanmak üzere CA’ya gönderilmesi

3.)    CA’dan gelen sertifikanın Keystore import edilmesi

4.)    CA’in root ve intermediate sertifikalarının import edilmesi için TrustStore oluşturulması ve CA sertifikalarının import edilmesi (sertifikamız bu CA sertifikaları ile doğrulanır)

5.)    TrustStore içindeki kullanılmayacak private key’in silinmesi

6.)    Store içindeki nesneleri export edilmesi

7.)    Java kod parçacığı ve/veya uygulama sunucusu üzerinde yapılması gereken değişiklikler

Java SSL Sertifika işlemleri için “keytool” uygulamasını kullanıyoruz. Varsayılan olarak aşağıdaki path’de olan uygulamayı (işletim sistemine ve kurulum ayarlarınıza göre değişebilir), işletim sisteminizde path variable olarak eklerseniz istediğiniz dizinde bu işlemleri gerçekleştirebilirsiniz.

C:\Program Files\Java\jre6\bin

Store içindeki nesnelere erişim “alias” adı verilen parametreler ile gerçekleştirilir.

1.)    JKS + Private Key Oluşturma

2048 bitlik, RSA algoritması kullanan, KeyStore şifresi “ikaru55@”, Private key şifresi “5uraki@”, Common Name: Elma olan Makale.jks keystore’u oluşturmak için aşağıdaki komutu kullanıyoruz:

Burada, elma vb örnek olarak kullanılmıştır. Uygulama.kurum.com.tr vb olarak gerçek ortamlarda kullanılabilir.

keytool.exe -genkey -keystore "C:\Cagatay\Makale.jks" -alias Makale -storepass ikaru5@ -keypass 5uraki@ -keyalg RSA -keysize 2048 -dname "CN=Elma, OU=Bank AS, O=Cagatay"

2.)    CSR oluşturma + Kontrol Etme + CA’ya gönderme

KeyStore içindeki Private Key’imizi kullanarak CA’ya sertifika imzalama isteği (makale.csr) gönderiyoruz. Aslında CA yerine, RA’ya gönderiyoruz. RA, bizim gerçekten o sertifikayı almaya yetkili olup olmadığımızı imza sirküleri, ticaret sicil gazetesi vb kontroller ile gerçekleştirir. Uygun bulunursa sertifikamız gönderilir.

keytool -certreq -alias Makale -file Makale.csr -keystore Makele.jks -storepass ikaru5@ -keypass 5uraki@

Oluşturduğumuz CSR’ı kontrol etmek için metin editörü ile açıp http://www.sslshopper.com/csr-decoder.html linkindeki uygulamayı kullarak kontrol ediyoruz:

Doğrulama işlemi için internette farklı kaynaklar da mevcuttur.

3.)    CA’den Gelen Sertifikayı KeyStore’a Import Etme

Store içindeki key ve sertifikalara erişim “alias” kullanılarak gerçekleştirilir.

CA tarafından imzalanan sertifika (Makale_Sertifika.cer) tarafımıza ulaştığında, KeyStore’a import ediyoruz:

keytool –import –trustcacerts –alias Makale_Sertifika -file Makale_Sertifika.cer -keystore "C:\Cagatay\Makale.jks" -storepass ikaru5@

Sertifikamızla beraber, CA’in root ve intermediate sertifikalarını edinmemiz gerekir. Bu sertifikaları da makalemizin ilerleyen bölümlerinde TrustStore’a import edeceğiz. Sertifikamız, CA sertifikaları ile doğrulanacak. Makalemizde, CA olarak COMODO seçilmiştir.

CA’in Root ve Intermediate Sertifikaları:

comodo-root.cer ve comodo-intermediate.cer

Yüklü key ve sertifikaları listeleme

Sertifikamızı Makale.jks keystore’umuza import etmiştik. Şimdi, Makale.jks içeriğini cagatay.txt’ye yazdırıp kontrol edelim:

keytool -list -v -keystore Makale.jks -storepass ikaru5@ > cagatay.txt

Dosyaya yazdırmadığımız durumda (>cagatay.txt olmadan),  sonucu ekrana basacağından çok sayıda sertfika ve key olduğunda kontrol daha zor olacaktır.

Alias=makale nesnesi, entry type değerinden de görüleceği üzere Privata Key’imiz, makale_sertifika ise CA’in (Comodo) imzaladığı sertifikamızdır.

4.)    TrustStore Oluşturarak CA Sertifikalarının Import Edilmesi

Sertifikamızı doğrulamak için kullanacağımız CA root ve intermediate sertifikalarını içeren TrustStore oluşturmak için aşağıdaki komutu kullanıyoruz:

keytool.exe -genkey -keystore "C:\Cagatay\TrustedMakale.jks" -alias TrustedMakale -storepass ikaru5@ -keypass 5uraki@ -keyalg RSA -keysize 2048 -dname "CN=Elma, OU=Bank AS, O=Cagatay"

Root CA sertifikalarını TrustStore’a import etme

CA root ve intermediate sertifikalarını TrustStore’a import ediyoruz:

keytool –import –trustcacerts –alias comodo-root  -file comodo-root.cer -keystore "C:\Cagatay\TrustedMakale.jks" -storepass ikaru5@

keytool –import –trustcacerts –alias comodo-intermediate -file comodo-intermediate.cer -keystore "C:\Cagatay\TrustedMakale.jks" -storepass ikaru5@

Yüklü sertifikaları listeleme

TrustStore içeriğini kontrol ediyoruz:

keytool -list -v -keystore TrustedMakale.jks -storepass ikaru5@ > cagatayTrusted.txt

TrustStore içinde (trustedmakale.jks) üç nesne bulunuyor. Alias=Trustedmakale nesnesi örnek amaçlı yaratılmış private key. Kullanmayacağımız için silmemiz gerekiyor.

5.)    Private key’i silme

Alias=Trustedmakale private key nesnesini aşağıdaki komut ile siliyoruz:

keytool -delete -alias TrustedMakale -keystore Trustedmakale.jks -storepass ikaru5@

İşlem sonrası TrustedMakale.jks içeriğine bakalım:

keytool -list -v -keystore TrustedMakale.jks -storepass ikaru5@ > cagatayTrusted.txt

TrustStore oluştururken –genkey parametresini kullanmasaydık private key oluşturulmayacaktı. Jks içinden nesne silmeyi (alias kullanarak) göstermek için bu şekilde oluşturulmuştur.

Son Durum

6.)    Store İçindeki Key/Certificate Nesnelerinin Export Edilmesi

Store içindeki key ve sertifikaları export etmek için –export switchini kullanabiliriz:

keytool -export -alias makale_sertifika -file makale_sertifika.cer -keystore Makale.jks -storepass ikaru5@

7.)    İlgili Kod Parçacığı

Artık, java uygulama kodumuz içinde aşağıdaki tanımlamaları yaparak uygulamamızın CA tarafından imzalanmış SSL sertifikası kullanmasını sağlayabiliriz.

props.setProperty("javax.net.ssl.keyStore"          , local path of jks file that holds private key);

props.setProperty("javax.net.ssl.keyStorePassword"   , private keystore file storepassword);

props.setProperty("javax.net.ssl.keyStoreType"       ,”JKS”);

props.setProperty("javax.net.ssl.trustStore"          , local path of jks file that holds private key);

props.setProperty("javax.net.ssl.trustStorePassword"   , private keystore file storepassword);

props.setProperty("javax.net.ssl.trustStoreType"       ,”JKS”);

Makalemizin başında belirttiğimiz gibi, TrustStore kullanmak zorunda değildik. Uygulama sunucusunun default TrustStore’una CA’in root ve intermediate sertifikalarını yönetim arayüzünden import edip java uygulama kodu içindeki trustStoreType içeren satırları silerek de kullanabilirdik. Her iki yöntemi de anlatmak için bu şekilde uyguladık.

Günümüz bilgi güvenliğini sağlamak için iki yaklaşım tercih edilmektedir .  Bunlardan ilki savunmacı yaklaşım(defensive) diğeri de proaktif yaklaşım (offensive)olarak bilinir. Bunlardan günümüzde kabul göreni proaktif yaklaşımdır. Pentest –sızma testleri– ve vulnerability assessment –zayıflık tarama- konusu proaktif güvenliğin en önemli bileşenlerinden biridir.

Son yıllarda gerek çeşitli standartlara uyumluluktan gerekse güvenliğe verilen önemin artmasından dolayı sızma testleri ve bu konuda çalışanlara önem ve talep artmıştır. Bu yazıda sızma testleri ile ilgili merak edilen sorulara sektörün gözünden cevap verilmeye çalışılacaktır. Yazı, sızma testleri konusunda teknik detaylar içermemektedir.  Sızma testleri konusunda teknik bilgiler için http://blog.bga.com.tr  adresi takip edilebilir.

Sızma Testleri Lüks müİhtiyaç mı?

Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz birşeylerin gözünüzden kaçma ihtimali vardır ve internette hackerlarin sayısı ve bilgi becerisi her zaman sizden iyidir. Hackerlara yem olmadan kendi güvenliğinizi bu konudaki uzmanlara (beyaz şapkalı hacker, ethical hacker, sızma test uzmanı vs) test ettirmek firmanın yararına olacaktır.

Sağlam bir ekibe yaptırılacak sızma testleri internet üzerinden gelebilecek tehditlerin büyük bir kısmını ortaya çıkarıp kapatılmasını sağlayacaktır.  Bununla birlikte bilişim güvenliğinin zamana bağımsız dinamik bir alan olduğu gözönünde bulundurulursa sızma testlerinin tek başına yeterli olmayacağı aşikardır.

Sızma testlerinini bitimini takip eden günlerde ortaya çıkabilecek kritik bir güvenlik zafiyeti kurumları zor durumda bırakmak için yeterlidir. Dolayısıyla sızma testleri ile yetinmeyerek mutlaka katmanlı güvenlik mimarisinin kurum güvenlik politikalarında yerini alması önerilmektedir.

Güvenlik açısından olduğu kadar çoğu kurum ve kuruluş için sızma testleri ISO 27001, PCI, HIPAA gibi standartlarla zorunlu hale getirilmiştir.

Sızma testleri maliyetli bir iştir ve genellikle yöneticiler tarafındans ROI(Return of investment)si hesaplanamayan ya da hatalı hesaplanan bir projedir. Burada iş bilgi güvenliği uzmanlarına düşmektedir. Gerçekleştirilen sızma testlerinin sonuçları yöneticilerin anlayacağı uygun bir biçimde üst yönetime anlatılmalı ve yapılan işin şirkete uzun vadeli kazandırdıkları gösterilmelidir. 

Kısaca sızma testleri konusunda uzman ekiplere sahip firmalara yaptırılırsa değerli bir iştir, bunun haricinde sadece vicdani rahatlık sağlar ve standartlara uyumluluk kontrol listelerinden bir madde daha tamamlanmış olur.

Sızma Testlerinde Genel Kavramlar

Pentest, Vulnerability Assessment ve Risk Asssessment Kavramları

Sızma Testleri (Pentest): Belirlenen bilişim sistemlerine mümkün olabilecek ve müşteri tarafından onayı verilmiş her yolun denenerek sızılmaya çalışma işlemine pentest denir.

Pentest de amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmek ve elde edilen erişimler kullanılarak tüm zafiyetlerin ortaya çıkarılmasıdır.

Sızma Test Çeşitleri

Gerçekleştirilme yöntemlerine göre sızma testleri üçe ayrılmaktadır. Bunlar aşağıdaki gibi listelenmektedir.

·         Whitebox

·         Blackbox

·         Graybox

Black box Pentest – Kapalı Kutu Sızma Testleri

Bunlardan blackbox bizim genelde bildiğimiz ve yaptırdığımız pentest yöntemidir. Bu yöntemde testleri gerçekleştiren firmayla herhangi bir bilgi paylaşılmaz. Firma ismi ve firmanın sahip olduğu domainler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır.

White box Pentest – Açık Kutu Sızma Testleri

Bu sızma test yönteminde firma tüm bilgileri paylaşır ve olabildiğince sızma testi yapanlara bilgi verme konusunda yardımcı olur.

Zafiyet Değerlendirme Testleri (Vulnerability Assessment): Belirlenen sistemlerde güvenlik zaafiyetine sebep olabilecek açıklıkların araştırılması. Bu yöntem için genellikle otomatize araçlar kullanılır(Nmap, Nessus, Qualys vs)gibi. Vulnerability assessment çalışmaları sızma testleri kadar tecrübe zaman gerektirmeyen çalışmalardır.

Risk assessment tamamen farklı bir kavram olup pentest ve vuln. assessmenti kapsar. Zaman zaman technical risk assessment tanımı kullanılarak Vulnerability assessment kastedilir.

Sızma Testlerinde Proje Yönetimi

Gerçekleştirilecek sızma testlerinden en yüksek verimi alabilmek için her işte olduğu gibi burada da plan yapmak gerekir. Pentest planı oluşturmaya başlamak için aşağıdaki temel sorular yeterli olacaktır:

●     Pentest’in kapsamı ne olacak?

●     Sadece iç ağ sistemlerimimi, uygulamalarımı mı yoksa tüm altyapıyı mı test ettirmek istiyorum

●     Testleri kime yaptıracağım

●     Ne kadar sıklıkla yaptırmalıyım

●     Riskli sistem ve servisler kapsam dışı olmalı mı yoksa riski kabul edip sonucunu görmelimiyim.

●     DDOS denemesi yapılacak mı

●     Pentest sonuç raporundaki zafiyetleri kapatmak icin idari gücüm var mı?

Müşteri İçin Pentest Proje Zaman Çizelgesi

1.      Pentest yapmak için karar verilir

2.      Temel kapsam belirlenir. Hangi bileşenlerin test edileceği konusunda Kapsam Belirleme kısmı yardımcı olacaktır.

3.      Firma araştırması [Firma seçimi konusunda dikkat edilmesi gereken maddeler incelenmeli]

4.      Firmalardan teklif toplama

5.      Firmalardan kapsam önerilerini isteme

6.      Firmalardan örnek sızma test raporu isteme

7.      Gerekli durumda kapsam belirleme için firmayla ek toplantılar

8.      Firmaya karar verme ve sızma testlerine başlama

Sızma Testlerinde Kapsam Belirleme Çalışması

Sızma testinde ana amaçlardan biri tüm zafiyetlerin degerlendirilerek sisteme sızılmaya çalışılmasıdır. Bu amaç doğrultusunda gerçekleştirilecek sızma testlerinde kapsam pentest çalışmasının en önemli adımını oluşturmaktadır.

Sistem/ağ yöneticileri ile hackerların bakış açısı farklıdır ve sitem/ağ yöneticisi tarafından riskli görülmeyen bir sunucu/sistem hacker için sisteme sızmanın ilk adımı olabilir. Bu nedenle kapsam çalışmalarında mutlaka pentest yaptırılacak kişi/firma ile ortaklaşa hareket edilmelidir.

Aşağıdaki resim kapsam konusunun önemimi çok iyi göstermektedir.

Kapsam belirlemek için standart bir formül yoktur. Her firma ve ortam için farklı olabilmektedir. Genellikle sızma testleri aşağıdaki gibi alt bileşenlere ayrılmaktadır.

●     Web uygulama sızma testleri

●     Son kullanıcı ve sosyal mühendislik testleri

●     DDoS ve performans testleri

●     Ağ altyapısı sızma testleri

●     Yerel ağ sızma testleri

●     Mobil uygulama güvenlik testleri

●     Sanallaştırma sistemleri sızma testleri

Kapsam belirleme konusunda sızma testini gerçekleştirecek firma ve hizmeti alacak firma birlikte karar vermelidir. Genellikle hizmet alan firma maliyetleri düşürmek için kapsamı olabildiğince daraltmaya çalışmakta ve kapsam olarak güvenli olduğu düşünülen sistemlerin ip adresleri verilmekte ya da örnekleme yapılmaya çalışılmaktadır. Oysa sızma testlerinde ana amaçlardan birisi en zayıf noktayı kullanarak sisteme sızmak, sızılabildiğini göstermektir.

Kapsam konusunda sadece ip adresi alarak sızma testi yapılmaz. Bir web uygulamasını test etmek ile DNS sunucuyu, güvenlik duvarını test etmek çok farklıdır. Yine statik içerik barındıran bir web sitesi ile dinamik içerik barındıran web sayfasını test etmek de içerik ve üzerine harcanan emek açısından oldukça farklıdır.

Firma Seçimi

Sızma testleri sonuçları somut olmayan hizmetler kapsamındadır. Firmalar kendilerinin uzman olduklarını farklı şekilde ortaya koyabilirler. Bunlardan en önemlisi firmanın referansları ve bu

konuda çalıştırdığı kişilerin yetkinliği ve firmanın sızma testlerine olan ilgisidir. Güvenlik ürün çözümleri sunup yanında sızma testleri yapan firmalar genellikle halihazırda sundukları ürünleri satabilmek için sızma testleri gerçekleştirir ve sonuçları daha çok ürün satmaya yönelik olur.

Tek işi sızma testleri ve benzeri hizmetler vermek olan firmalar bu konuda daha öncelikli olarak değerlendirilmelidir.

Firma seçimi konusunda yardımcı olabilecek bazı maddeler aşağıdaki gibi sıralanabilir.

·         Firmada test yapacak çalışanların CVlerini isteyin . Varsa testi yapacak çalışanların konu ile ilgili sertifikasyonlara sahip olmasını ercih edin.

·         Testi yapacak çalışanların ilgili firmanın elemanı olmasına dikkat edin.

·         Firmaya daha önceki referanslarını sorun ve bunlardan birkaçına memnuniyetlerini sorun.

·         Mümkünse firma seçimi öncesinde teknik kapasiteyi belirlemek için tuzak sistemler kurarak firmaların bu sistemlere saldırması ve sizin de bildiğiniz açıklığı bulmalarını isteyin.

·         Firmadan daha önce yaptığı testlerle ilgili örnek raporlar isteyin.

·         Testlerin belirli ip adreslerinden yapılmasını ve bu ip adreslerinin size bildirilmesini talep edin.

·         Firmaya test için kullandıkları standartları sorun.

·         Firmanın test raporunda kullandığı tüm araçları da yazmasını isteyin.

·         Pentest teklifinin diğerlerine göre çok düşük olmaması

En önemli maddelerden biri Penetration test firmanın özel işi mi yoksa oylesine yaptığı bir iş mi? Bu sorgu size firmanın konu hakkında yetkinliğine dair ipuçları verecektir.

Ücretiz sızma testi hizmeti veren firmalar genellikle sızma testi konusunu yan iş olarak yapmaktadır ve bu konuda alınacak hizmetin kalitesi sıfıra yakın olacaktır. Sızma testleri tamamen uzmanlık alanı bu olan kişi/firmalara bırakılmalıdır.

Genellikle ürün satmak için ücretsiz sızma testleri gerçekleştiren firmaların yapacağı sızma testleri otomatik araçlarla taramanın ötesine geçememektedir.

Sızma Test Metodolojisi Kullanımı

İşinin ehli bir hacker kendisine hedef olarak belirlediği sisteme sızmak için daha önce edindiği tecrübeler ışığında düzenli bir yol izler. Benzeri şekilde sızma testlerini gerçekleştiren uzmanlar da çalışmalarının doğrulanabilir, yorumlanabilir ve tekrar edilebilir olmasını sağlamak için metodoloji geliştirirler veya daha önce geliştirililen bir metodolojiyi takip ederler.

Metodoloji kullanımı bir kişilik olmayan sızma test ekipleri için hayati önem taşımaktadır ve sızma testlerinde daha önce denenmiş ve standart haline getirilmiş kurallar izlenirse daha başarılı sonuçlar elde edilir

Internet üzerinde ücretsiz olarak edinilebilecek çeşitli güvenlik testi kılavuzları bulunmaktadır.

Bunların başında ;

•    OWASP(Open Web Application Security Project)

•    OSSTMM(The Open Source Security Testing Methodology Manual)
•    ISSAF(Information Systems Security Assessment Framework)
•    NIST  SP800-115

gelmektedir. Internetten ücretsiz edinilebilecek bu test metodojileri incelenerek yapılacak güvenlik denetim testlerinin  daha sağlıklı ve tekrar edilebilir sonuçlar üretmesi  sağlanabilir.

Metodoloji hazırlanmasında dikkat edilmesi gereken en önemli hususlardan biri sızma test metodolojisinin araç tabanlı (X adımı icin Y aracı kullanılmalı gibi) olmamasına dikkat edilmesidir.

BGA Sızma Test Metodolojisi

Sızma testlerinde ISSAF tarafından geliştirilen metodoloji temel alınmıştır.  Metodolojimiz üç ana bölümde dokuz alt bölümden oluşmaktadır.

1.1 [Bilgi Toplama]

Amaç, hedef sistem hakkında olabildiğince detaylı bilgi toplamaktır. Bu bilgiler firma hakkında olabileceği gibi firma çalışanları hakkında da  olabilir. Bunun için  internet siteleri haber gruplari e-posta listeleri , gazete haberleri vb., hedef sisteme gönderilecek çeşitli paketlerin analizi  yardımcı olacaktır.

Bilgi toplama ilk ve en önemli adımlardan biridir. Zira yapılacak test bir zaman işidir ve ne kadar sağlıklı bilgi olursa o kadar kısa sürede sistemle ilgili detay çalışmalara geçilebilir.

Bilgi toplamada aktif ve pasif olmak üzere ikiye ayrılır. Google, pipl, Shodan, LinkedIn, facebook gibi genele açık kaynaklar taranabileceği gibi hedefe özel çeşitli yazılımlar kullanılarak DNS, WEB, MAIL sistemlerine yönelik detaylı araştırmalar gerçekleştirilir.

Bu konuda en iyi örneklerden biri hedef firmada çalışanlarından birine ait e-posta ve parolasının internete sızmış parola veritabanlarından birinden bulunması ve buradan VPN yapılarak tüm ağın ele geçirilmesi senaryosudur. 

Sızma testlerinde bilgi toplama adımı için  kullanılabilecek temel araçlar:

• FOCA
• theharvester
• dns
• Google arama motoru
• Shodan arama motoru
• E-posta listeleri, LinkedIn, Twitter ve Facebook

1.2 [Ağ Haritalama]

Amaç hedef sistemin ağ yapısının detaylı belirlenmesidir. Açık sistemler ve üzerindeki açık portlar, servisler ve servislerin hangi yazılımın hangi sürümü olduğu bilgileri, ağ girişlerinde bulunan VPN, Firewall, IPS cihazlarının belirlenmesi, sunucu sistemler çalışan işletim sistemlerinin ve versiyonlarının belirlenmesi ve tüm bu bileşenler belirlendikten sonra hedef sisteme ait ağ haritasının çıkartılması Ağ haritalama adımlarında yapılmaktadır.

Ağ haritalama bir aktif bilgi toplama yöntemidir. Ağ haritalama esnasında hedef sistemde IPS, WAF ve benzeri savunma sistemlerinin olup olmadığı da belirlenmeli ve gerçekleştirilecek sızma testleri buna göre güncellenmelidir.

Ağ Haritalama Amaçlı Kullanılan Temel Araçlar

• Nmap,
• Unicornscan

1.3 [Zafiyet/Zayıflık Tarama Süreci]

Bu sürecin amacı  belirlenen hedef sistemlerdeki açıklıkların ortaya çıkarılmasıdır. Bunun için sunucu servislerdeki bannerler ilk aşamada kullanılabilir. Ek olarak birden fazla zayıflık tarama aracı ile bu sistemler ayrı ayrı taranarak oluşabilecek false positive oranı düşürülmeye çalışılır.

Bu aşamada hedef sisteme zarar vermeycek taramalar gerçekleştirilir. Zayıflık tarama sonuçları mutlaka uzman gözler tarafından tekrar tekrar incelenmeli, olduğu gibi rapora yazılmamalıdır. Otomatize zafiyet tarama araçlar ön tanımlı ayarlarıyla farklı portlarda çalışan servisleri tam olarak belirleyememktedir.

Zafiyet Tarama Amaçlı Kullanılan Temel Araçlar

• Nessus
• Nexpose

·         Netsparker

2.1 [Penetrasyon(Sızma) Süreci]

Belirlenen açıklıklar için POC kodları/araçları belirlenerek denelemeler başlatılır. Açıklık için uygun araç yoksa ve imkan varsa ve test için yeteri kadar zaman verilmişse sıfırdan yazılır. Genellikle bu tip araçların yazımı için Python, Ruby gibi betik dilleri tercih edilir.

Bu adımda dikkat edilmesi gereken en önemli husus çalıştırılacak exploitlerden önce mutlaka yazılı onay alınması ve mümkünse lab ortamlarında önceden denenmesidir.

Sızma Sürecinde Kullanılan Temel Araçlar

• Metasploit, Metasploit Pro
• Core Impact, Immunity Canvas
• Sqlmap
• Fimap

2.2 [Erişim Elde Etme ve Hak Yükseltme]

Sızma sürecinde amaç sisteme bir şekilde giriş hakkı elde etmektir. Bu süreçten sonra sistemdeki kullanıcının haklarının arttırılması hedeflenmelidir. Linux sistemlerde çekirdek (kernel) versiyonunun incelenerek priv. escelation zafiyetlerinin belirlenmesi ve varsa kullanılarak root haklarına erişilmesi en klasik hak yükseltme adımlarından biridir.

Sistemdeki kullanıcıların ve haklarının belirlenmesi, parolasız kullanıcı hesaplarının belirlenmesi, parolaya sahip hesapların uygun araçlarla parolalarının bulunması bu adımın önemli bileşenlerindendir.

Hak Yükseltme

Amaç edinilen herhangi bir sistem hesabı ile tam yetkili bir kullanıcı moduna geçişttir.(root, administrator, system vs)

Bunun için çeşitli exploitler denenebilir.

Bu sürecin bir sonraki adıma katkısı da vardır. Bazı sistemlere sadece bazı yetkili makinelerden ulaşılabiliyor olabilir. Bunun için rhost, ssh dosyaları ve mümkünse history’den eski komutlara bakılarak nerelere ulaşılabiliyor detaylı belirlemek gerekir.

2.3 [Detaylı Araştırma]

Erişim yapılan sistemlerden şifreli kullanıcı bilgilerinin alınarak daha hızlı bir ortamda denenmesi.  Sızılan  sistemde sniffer çalıştırılabiliyorsa  ana sisteme erişim yapan diğer kullanıcı/sistem bilgilerinin elde edilmesi.

Sistemde bulunan çevresel değişkenler ve çeşitli network bilgilerinin kaydedilerek sonraki süreçlerde kullanılması.

Linux sistemlerde en temel örnek olarak grep komutu kullanılabilir.

grep parola|password|sifre|onemli_kelime -R / 

3.1 [Erişimlerin Korunması] 

Sisteme girildiğinin başkaları tarafından belirlenmemesi için bazı önlemlerin alınmasında fayda vardır.  Bunlar giriş loglarının silinmesi, çalıştırılan  ek proseslerin saklı olması , dışarıya erişim açılacaksa  gizli kanalların kullanılması(covert channel), backdoor, rootkit yerleştirilmesi vs.

3.2 [İzlerin silinmesi ]

Hedef sistemlere bırakılmış arka kapılar, test amaçlı scriptler, sızma testleri için eklenmiş tüm veriler not alınmalı ve test bitiminde silinmelidir.

3.3 [Raporlama]

Raporlar bir testin müşteri açısından en önemli kısmıdır.  Raporlar ne kadar açık ve detaylı/bilgilendirici olursa müşterinin riski değerlendirmesi ve açıklıkları gidermesi  de o kadar kolay olur.

Testler esnasında çıkan kritik güvenlik açıklıklarının belgelenerek sözlü olarak anında bildirilmesi test yapan takımın görevlerindendir. Bildirimin ardından açıklığın hızlıca giderilmei için çözüm önerilerinin de birlikte sunulması gerekir.

Ayrıca raporların teknik, yönetim ve özet olmak üzere üç  farklı şekilde hazırlanmasında fayda vardır.

Teknik raporda hangi uygulama/araçların kullanıldığı, testin yapıldığı tarihler ve çalışma zamanı,  bulunan açıklıkların detayları  ve açıklıkların en hızlı ve kolay yoldan giderilmesini amaçlayan tavsiyeler bulunmalıdır.

Zamanlama

Hedef sistemlerin kritiklik durumlarına göre sızma testlerinin zamanlaması ayarlanmalıdır. DDoS testlerinin genellikle hafta sonu ve gece yarısı gerçekleştirilmesi önerilmektedir.

Bunun haricinde diğer testlerin gün içinde veya mesai saatleri sonrası yapılması tamamen müşterinin talebine bağlı değişkenlik göstermektedir. Fakat hedef sistemi performans açısından zorlayabilecek taramalar mesai saatleri dışında yapılması tercih edilmelidir.

Exploit Denemeleri

Sızma testlerinin en önemli adımlarıdan biri exploiting aşamasıdır. Bu adımla hedef sistem üzerinde bulunan güvenlik zafiyetleri istismar edilir ve sisteme sızılacak yollar belirlenebilir. Test yapan firmanın kalitesinin göstergelerinden biri de bu adımıdaki başarılarıdır.

Exploit çalıştırma denemelerinde mutlaka müşteri tarafı ile koordinasyon içinde olunmalı. Aksi hale hedef sistemi ele geçirmek amacıyla çalıştırılan bir exploit hedef sistemin bir daha açılmamasına, yeniden başlamasına ya da veri kaybına sebep olabilir.

BGA olarak genellikle test yapılacak firmalara ait bilişim sistemlerinin bir kopyaları kendi lab ortamımızda kurulu ve exploit öncesi denemeler gerçekleştirilir.

Pentest Çalışmasının Kayıt Altına Alınması

Bazı durumlarda hedef sistemde istenmeyen, beklenmeyen sonuçlar yaşanabilir. Testler esnasında hedef sistemden verilerin silinmesi, test yapılan ağın çökmesi, veya müşteri bilgilerinin internet ortamına sızması gibi. Bu gibi durumlarda sızma testlerini gerçekleştiren firmanın kendini sağlama alması açısından tüm sızma test adımlarının raw paket olarak kayıt altına alması önemlidir. Yaşanabilecek herhangi bir olumsuz durumda kayıt altına alınan paketlerden problem çözümü kolaylıkla sağlanabilir.

Pentest yapacak firma ne kadar güvenili olsa da-aranizda muhakkak imzalı ve maddeleri açık bir NDA olmalı- siz yine de kendinizi sağlama alma açısından firmanın yapacağı tüm işlemleri loglamaya çalışın.

Bunu nasıl yaparsınız? Firmanın pentest yapacağı ip adres bilgilerini isteyerek bu ip adreslerinden gelecek tum trafiği Snort veya benzeri bir yazılım kullanarak loglayabilirsiniz.

●     Özellikle web trafiği -ki en kirik bilgiler burada çıkacaktır- Snort ile cok rahatlıkla sonradan incelendiğinde anlaşılacak şekilde kaydettirilebilir.

Bunun için Snort gibi açık kaynak kodlu araçlar kullanılabilir. BGA olarak gerçekleştirdiğimiz sızma testlerinde müşteri talep ederse bu tip bir altyapıyı sağlamaktayız.

Sızma Test Kalitesinin Ölçümü

Dikkat edilmesi gereken en önemli husus, firmanın yaklaşımıdır. Genellikle firmalar sızma testi yerine zayıflık tarama ile yetinmek istemektedir ki günümüzde zayıflık tarama işlemlerinin %90'ı Nessus, Netsparker, Nmap gibi yazılımlar kullanılarak gerçekleştirilebilmektedir.  Önemli olan sızma testlerinde otomatize araçların ortaya çıkardığı bulguların teker teker incelenerek aralarında ilişki kurulabilmesi ve hedef sisteme sızmaya çalışmaktır.

Açıklığı bulup bunu raporlamak çoğu firma için yeterli olsa da gerçek bir sızma testi raporunda bulunan açıklık tüm yönleriyle incelenmeli ve hedef sisteme sızılabilirliğin gösterilmesidir.

Buna örnek olarak http://www.bga.com.tr/ornek_pentest_raporu.pdf adresindeki BGA sızma test sonuç raporu incelebilir.

Raporlama

Sızma testlerinin en önemli bileşenlerinden biri raporlamadır. Ticari açıdan yaklaşıldığında pentest yaptıran müşteri rapora para vermektedir. Dolayısıyla pentest raporunun olabildiğince detaylı ve müşteriyi doğru yönlendirecek nitelikte olması gerekir. Doğrudan otomatik analiz ve tarama araçlarının çıktılarını rapora eklemek müşterinin karşılaşmak istemediği durumların başında gelmektedir.

Raporun İletimi

Raporun mutlaka şifreli bir şekilde müşteriye ulaştırılması gerekir. Raporu açmak için gerekli olan parolanın e-posta harici başka bir yöntemle müşteriye ulaştırılabilir. Sık tercih edilen yöntem SMS kullanımıdır.

Bulguların Saklanması

Sızma teslerini yapan ekiplerin kullandıkları bilişim sistemleri ve sızma test sonçlarının saklandığı online, fiziksel ortamların koruma altında olması gerekmektedir. Aksi halde hedef sistemlere ait çok hassas bilgiler başkalarının eline geçebilir.

Bulguları saklamak için Truecrypt gibi disk şifreleme yazılımları kullanılabilir.

Anlık Acil Zafiyet Bildirimi

Bazı durumlarda hedef sisteme sızılacak bir yol, giriş kapısı bulunduğunda vakit geçirmeden müşteri detaylı olarak bilgilendirilmeli ve geçmişe yönelik adli bilişim analizi yapması önerilmelidir. Aksi halde pentest çalışması öncesi birilerinin sızdığı sistemden pentest sürecinde bir zarar gelirse pentest çalışmasını yapan firma zor durumda kalabilir.

Doğrulama Testleri

Doğrulama testleri yeni bir pentest çalışması gibi değildir ve ana pentest çalışmasının ayrılmaz bir parçasıdır. Doğrulama testleri için ek bir ücret talep edilmez.

Doğrulama testlerinde çalışmayı gerçeklştiren firmadan raporda yazılan tüm açıklıkların kontrol etmesi istenir. Bu esnada yeni açıklıklar incelenmez.

Sızma Test Çalışması Sonrası Yapılması Gerekenler

Pentest yaptırmak ne kadar önemliyse sonuçlarını değerlendirip aksiyon almak çok daha önemlidir.Malesef ki yaygın olarak yapılan yanlış sadece pentest yapıp raporu incelemek oluyor.

Pentest sonrası açıklıkların kapatılmaması ve bir sonraki pentestde aynı açıklıkların tekrar çıkması sık karşılaşılan bir durumdur.

●     Pentest raporlarının üst yönetimle paylaşılıp yönetim desteğinin alınması

●     Sonuçlarının basit açıklıklar olarak değil, bir risk haritası kapsamında yönetime sunulması(bu açıklık hackerlar tarafından değerlendirilirse şu kadar kaybımız olur gibisinden)

●     Raporu detaylıca inceleyip her bir açıklığın kimin ilgi alanına girdiğinin belirlenmesi

●     Sistem yöneticileri/yazılımcılarla toplantı yapıp sonuçların paylaşılması

●     Açıklıkların kapatılmasının takibi

●     Bir sonraki pentestin tarihinin belirlenmesi

Sızma Testlerinde Kullanılan Araçlar:

Öncelikle sızma test kavramının araç bağımsız olduğunu belirtmek gerekir. Bu konudaki yazılımlar

Açık kodlu bilinen çoğu pentest yazılımı Backtrack güvenlik CDsi ile birlikte gelir. Bu araçları uygulamalı olarak öğrenmek isterseniz Backtrack ile Penetrasyon testlerieğitimine kayıt olabilirsiniz.

Ticari Pentest Yazılımları: Immunity Canvas, Core Impact, HP Webinspect, Saint Ssecurity Scanner

Sızma Testleri Konusunda Uzmanlık Kazanma

Pentest konusunda kendinizi geliştirmek için öncelikle bu alana meraklı bir yapınızın olmasın gerekir. İçinizde bilişim konularına karşı ciddi merak hissi , sistemleri bozmaktan korkmadan kurcalayan bir düşünce yapınız yoksa işiniz biraz zor demektir.

Zira pentester olmak demek başkalarının düşünemediğini düşünmek, yapamadığını yapmak ve farklı olmak demektir.

Bu işin en kolay öğrenimi bireysel çalışmalardır, kendi kendinize deneyerek öğrenmeye çalışmak, yanılmak sonra tekrar yanılmak ve doğrsunu öğrenmek. Eğitimler bu konuda destekci olabilir. Sizin 5-6 ayda katedeceğiniz yolu bir iki haftada size aktarabilir ama hiçbir zaman sizi tam manasıyla yetiştirmez, yol gösterici olur.

Pentest konularının konuşulduğu güvenlik listelerine üyelik de sizi hazır bilgi kaynaklarına doğrudan ulaştıracak bir yöntemdir.

Linux öğrenmek, pentest konusunda mutlaka elinizi kuvvetlendirecek, rakiplerinize fark attıracak bir bileziktir. Bu işi ciddi düşünüyorsanız mutlaka Linux bilgisine ihtiyaç duyacaksınız.

Sızma Testleri Konusunda Verilen Eğitimler

●     Bilgi Güvenliği AKADEMİSİ Pentest Eğitimleri

●     Ec-Council Pentest Eğitimleri

●     SANS Pentest Eğitimleri

●     Offensive Security Pentest Eğitimleri

Makaleme başlamadan önce bu makalenin hazırlanmasında bana yardımcı olan değerli arkadaşım Selin Sökücü' ye teşekkür ediyorum.

SSL Secure Socket Layer Protokolü Netscape tarafından, internet üzerinde web sunucular ve tarayıcıların güvenli haberleşmeleri için geliştirilmiştir. Zaman içinde daha da geliştirierek TLS - Transport Layer Security olarak adlandırılmıştır. SSL Protokolü'nün ana hedefi kişisel gizlilik ve güvenilirlik sağlamaktır. Bu protokol ile istemci (client) ve sunucu (server) arasında trafik şifrelenir, şifreleme için cipher adı verilen anahtarlar kullanılır. Kısa uzunluktaki olan anahtarlarla (<128 bit) şifrelenmiş olan verilerin kırılıp okunabilmesi, daha uzun anahtarla şifrelenmiş olan verinin kırılıp okunmasından çok daha basittir. Güvenli veri iletişimi sağlamak için uzunluğu kısa anahtarların kullanılmaması gerekir. Yazımızda istemci ve sunucu tarafında düşük güvenlikli, uzunluğu kısa anahtarların kapatılmasını anlatılacaktır.

Makalemize başlamadan önce sizlere makale içerisinde geçecek olan bir takım terimlerin tanımlarını yapmak istiyorum.

Tanımlar;

Plaintext:Şifrelenmemiş asıl metin.

Ciphertext: Bir anahtarla şifrelenmiş metin.

Cipher:Şifreleme ve/veya şifre çözmede kullanılan anahtara Cipher denir. Cipher’lar birçok farklı şekilde kategorilere ayrılabilirler.

·         Block Cipher:Şifreleme algoritmalarında kullanılan bir yöntem olan blok şifreleme, açık mesajın (plain text) belirli uzunluklarda bloklara bölünmesi ile çalışır.

·         Stream Cipher:Bloklar halinde çalışmayıp, devam eden semboller üzerinde çalışan cipherlara stream ciphers denir.

Cipher’lar şifreleme anahtarlarının uzunluklarına göre üçe ayrılmaktadır.

·         Düşük (Low): 128 bitten daha kısa olan cipherlardır.

·         Orta (Medium): 128 bit uzunluğunda olan cipherlardır.

·         Yüksek (High): 128 bitten daha uzun olan cipherlardır.

Anahtarlama yöntemleri ikiye ayrılır:

·         Simetrik Anahtarlama (symmetric key algorithms):Şifrelemede ve şifre çözmede aynı anahtar kullanılır. Bu anahtarlama türünde, anahtar alıcı ve gönderici tarafından bilinmeli ve başka kimse tarafından bilinmemelidir.

·         Asimetrik Anahtarlama (asymmetric key algorithms):Şifrelemede ve şifre çözmede farklı anahtar kullanılır.  Bunlar public key (açık anahtar) ve private key (gizli-kapalı anahtar)’lerdir. Private key public keyden öğrenilemez ve böylece şifrelemenin de güvenliği sağlanmış olur.

Üçlü El Sıkışması (3-way-handshake): İstemci bilgisayarın HTTPS protokolü üzerinden sunucu sisteme bağlanması Üçlü Tokalaşma (3 way handshake) yöntemiyle gerçekleştirilmektedir. Buna göre İstemci bilgisayar bağlantı kurmak istediği sunucuya içinde kendini tanıtıcı bilgileri bulunduran bir SYN (Synchronize) paketi gönderir. Sunucu SYN paketini aldığında alındı onayı olan ACK (Acknowledgement) paketiyle birlikte kendini tanıtıcı bir SYN paketi gönderir. İstemci bilgisayarın sunucudan gelen SYN+ACK paketini aldığını son adımda göndereceği ACK paketiyle Üçlü Tokalaşma tamamlanır ve veri akışı başlar.

Şekil – 1

Network tarafında giden ve gelen paketleri incelemek için Wireshark yazılımını kullanacağız.( http://www.wireshark.org/download.html)

Wireshark programından üçlü el sıkışma paketlerini incelemek istersek:

1. adım olan SYN paketinin yollanması (istemci):

Şekil – 2

2. adım olan SYN-ACK paketinin yollanması (sunucu):

Şekil – 3

3. adım olan ACK paketinin yollanması (istemci):

Şekil – 4

Cipher Açıklaması:

Cipher’ların isimlerinin açıklamalarını gösteren tablo aşağıdaki gibidir.

Kx: Key Exchange Algorithm.

Au: Authentication Algorithm.

Enc: Encryption.

Mac: Message Authentication Code Algorithm; Mesajın bütünlüğünü ve değiştirilmediğini kontrol etmek için kullanılır. Bütünlük sayesinde mesaj üzerinde yapılan rastlantısal ve kasıtlı mesaj değişiklikleri algılanır. Mesajın değiştirilmemesi kontrolü sayesinde ise mesajı gönderen doğrulanmış olur.