Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07...
Transcript of Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07...
![Page 1: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/1.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Kurumsal AğlardaKurumsal AğlardaWeb Sistem GüvenliğiWeb Sistem Güvenliği
Ar. Gör. Enis KaraarslanAr. Gör. Enis KaraarslanEge Ü. Kampüs Network YöneticisiEge Ü. Kampüs Network Yöneticisi
ULAKCSIRTULAKCSIRThttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr
![Page 2: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/2.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
İÇERİKİÇERİK1. Neden Web Güvenliği1. Neden Web Güvenliği2. Kurumsal Web Güvenliği Modeli2. Kurumsal Web Güvenliği Modeli
Standartları Oluşturma/UygulamaStandartları Oluşturma/Uygulama Sistem FarkındalığıSistem Farkındalığı Eğitim / SınamaEğitim / Sınama Saldırı SaptamaSaldırı Saptama EngellemeEngelleme
3. UlakCsirt Web Güvenliği Grubu3. UlakCsirt Web Güvenliği Grubu4. Sonuç4. Sonuç
![Page 3: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/3.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
NEDEN NEDEN WEB GÜVENLİĞİ?WEB GÜVENLİĞİ?
![Page 4: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/4.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Web Kullanımı ArtıyorWeb Kullanımı Artıyor
Doğru bilgiyi zamanında ulaştırmakDoğru bilgiyi zamanında ulaştırmak Eticaret ve bankacılıkEticaret ve bankacılık Eöğrenme ...vbEöğrenme ...vb Kurumların vitrini Kurumların vitrini Uzaktan program çalıştırmak Uzaktan program çalıştırmak Cihaz yönetimiCihaz yönetimi
![Page 5: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/5.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Artan Web SaldırılarıArtan Web Saldırıları
ZoneH ’in incelemesi 2004 yılında web ZoneH ’in incelemesi 2004 yılında web sunucu saldırıları 2003 yılına göre 400,000 sunucu saldırıları 2003 yılına göre 400,000 (%36) artmıştır. (%36) artmıştır.
CSI/FBI “Bilgisayar Suç ve Güvenlik CSI/FBI “Bilgisayar Suç ve Güvenlik Anketi”, ankete katılanların %95’i 2005 yılı Anketi”, ankete katılanların %95’i 2005 yılı içinde güvenlikle ilgili 10’dan fazla web içinde güvenlikle ilgili 10’dan fazla web sitesi olayı sitesi olayı
![Page 6: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/6.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Başlıca Nedenler ...Başlıca Nedenler ...
Web güvenliğinin yeterince ciddiye Web güvenliğinin yeterince ciddiye alınmaması.alınmaması.
Geleksel güvenlik duvarları yetersizGeleksel güvenlik duvarları yetersiz Yetersiz sunucu güvenliğiYetersiz sunucu güvenliği Güvenli kodlama eksikliği Güvenli kodlama eksikliği (Örn. Yazılımlarda girdi/çıktı kontrolünün (Örn. Yazılımlarda girdi/çıktı kontrolünün
yapılmaması)yapılmaması)
![Page 7: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/7.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Kurumsal Kurumsal Web Güvenliği Web Güvenliği
ModeliModeli
![Page 8: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/8.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Kurumsal Web Güvenliği Modeli Kurumsal Web Güvenliği Modeli
Standartların OluşturulmasıStandartların Oluşturulması Web Sistem FarkındalığıWeb Sistem Farkındalığı Eğitim / SınamaEğitim / Sınama Saldırı SaptamaSaldırı Saptama EngellemeEngelleme
![Page 9: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/9.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Standartların OluşturulmasıStandartların Oluşturulması
Kurum dışına açılacak web sunucu Kurum dışına açılacak web sunucu sistemlerinin uyması gereken özellikler sistemlerinin uyması gereken özellikler belirlenmeli ve uygulanmalıdırbelirlenmeli ve uygulanmalıdır
Kurumun web sayfaları belirli bir yapıda ve Kurumun web sayfaları belirli bir yapıda ve şablonda olmalıdır.şablonda olmalıdır.
![Page 10: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/10.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Standartların Oluşturulması(devam)Standartların Oluşturulması(devam)
Hazır web portalları (phpnuke, joomla ...vb) Hazır web portalları (phpnuke, joomla ...vb) yerine kuruma özgü bir şablon hazırlanmalı yerine kuruma özgü bir şablon hazırlanmalı ve uygulanmalıdır.ve uygulanmalıdır.
Kurumsal web uygulamaları test edilmeli ve Kurumsal web uygulamaları test edilmeli ve dökümantasyonu bulunmalıdır ...dökümantasyonu bulunmalıdır ...
![Page 11: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/11.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Sistem FarkındalığıSistem Farkındalığı
Eğer saldırgan, Eğer saldırgan, sistemler hakkında sizden sistemler hakkında sizden daha fazla bilgiye sahipse, daha fazla bilgiye sahipse, o sistemi koruyamazsınız!o sistemi koruyamazsınız!
![Page 12: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/12.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Sistem FarkındalığıSistem Farkındalığı
Web Altyapısı FarkındalığıWeb Altyapısı Farkındalığı Zayıflık TestleriZayıflık TestleriÖr: Nessus, Nikto, WapitiÖr: Nessus, Nikto, Wapiti Sistemin Takip EdilmesiSistemin Takip EdilmesiÖr: CactiÖr: Cacti
![Page 13: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/13.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Web Altyapısı FarkındalığıWeb Altyapısı Farkındalığı
Web sunucu IP adresleriWeb sunucu IP adresleri Kullanılan protokoller (https, http)Kullanılan protokoller (https, http) Alan adı (örn. socrates.ege.edu.tr)Alan adı (örn. socrates.ege.edu.tr) Kullanılan port'lar (80, 8080 …vb)Kullanılan port'lar (80, 8080 …vb) İşletim Sistemi (Linux, Windows …vb)İşletim Sistemi (Linux, Windows …vb) Web sunucu yazılımı ve sürümü Web sunucu yazılımı ve sürümü (Apache 2.0, IIS 6.0…vb)(Apache 2.0, IIS 6.0…vb)
![Page 14: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/14.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Web Altyapısı Farkındalığı (devam)Web Altyapısı Farkındalığı (devam)
Hazır portal yazılımı Hazır portal yazılımı (Joomla, Phpnuke…vb)(Joomla, Phpnuke…vb)
Web uygulamaları için kullanılan Web uygulamaları için kullanılan programlama dilleri (cgi, php, asp …vb)programlama dilleri (cgi, php, asp …vb)
Web uygulaması dosya adı ve hangi dizin Web uygulaması dosya adı ve hangi dizin altında bulunduğu (path)altında bulunduğu (path)
Uygulamaya iletilen parametreler ve tipleriUygulamaya iletilen parametreler ve tipleri
![Page 15: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/15.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Eğitim / TestEğitim / Test
ÇalıştayÇalıştay Eğitim PortalEğitim Portal
Ör: Ör: http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr
Test Sunucusu Test Sunucusu
![Page 16: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/16.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Eğitim(devam)Eğitim(devam)
Web yazılımlarının girdi/çıktı kontrolünün Web yazılımlarının girdi/çıktı kontrolünün yapılması gerektiği anlatılmalıyapılması gerektiği anlatılmalı
Sunuculardaki hata sayfaları yerine Sunuculardaki hata sayfaları yerine varsayılan sabit bir sayfa döndürülmesi varsayılan sabit bir sayfa döndürülmesi gerektiği anlatılmalıdır.gerektiği anlatılmalıdır.
![Page 17: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/17.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Saldırı SaptamaSaldırı Saptama
Saldırı Saptama SistemleriSaldırı Saptama SistemleriÖr: SnortÖr: Snort
Log TakibiLog Takibi Bal Küpü (Honeypot) uygulamalarıBal Küpü (Honeypot) uygulamaları
![Page 18: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/18.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
Saldırı EngellemeSaldırı Engelleme
Erişimin Kontrolü/KısıtlanmasıErişimin Kontrolü/KısıtlanmasıÖr: ağ güvenlik duvarı, ACLÖr: ağ güvenlik duvarı, ACL
Web Sunucu GüvenliğiWeb Sunucu GüvenliğiÖr: Apache Mod SecurityÖr: Apache Mod Security
Reverse Proxy Web Güvenlik DuvarıReverse Proxy Web Güvenlik DuvarıÖr:Mod Security – Mod RewriteÖr:Mod Security – Mod Rewrite
![Page 19: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/19.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
UlakCsirtUlakCsirt
Web Güvenliği konusunda bilinçlendirmeWeb Güvenliği konusunda bilinçlendirme Web Güvenliği BelgeleriWeb Güvenliği Belgeleri http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr
http://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr/dokumanlar/dokumanlar İTUNinova – Eöğrenme içeriği hazırlanıyorİTUNinova – Eöğrenme içeriği hazırlanıyorhttp://ninova.itu.edu.trhttp://ninova.itu.edu.tr
![Page 20: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/20.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr
![Page 21: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/21.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
http://ninova.itu.edu.trhttp://ninova.itu.edu.tr
![Page 22: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/22.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
SONUÇ SONUÇ
Kurumsal Ağlarda web güvenliğini Kurumsal Ağlarda web güvenliğini sağlamak için öncelikle gerekenler:sağlamak için öncelikle gerekenler: Web Sisteminizin farkında olmalısınızWeb Sisteminizin farkında olmalısınız Sunucu Yöneticilerini ve programcıları Sunucu Yöneticilerini ve programcıları
bilinçlendirmelibilinçlendirmeli
Saldırı Tespiti için sistem takip edilmeliSaldırı Tespiti için sistem takip edilmeli Mümkünse web güvenlik duvarı Mümkünse web güvenlik duvarı
çözümlerine gidilmelidir.çözümlerine gidilmelidir.
![Page 23: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/23.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
SONUÇ (devam)SONUÇ (devam)
Belgeleme çalışmalarımız devam Belgeleme çalışmalarımız devam etmektedir. Desteğinizi bekliyoruz:etmektedir. Desteğinizi bekliyoruz:http://websecurity.ege.edu.trhttp://websecurity.ege.edu.trhttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr/dokumanlar/dokumanlar
![Page 24: Kurumsal Ağlarda Web Sistem Güvenliği · 2013. 11. 13. · (Apache 2.0, IIS 6.0…vb) 06/04/07 ULAKCSIRT – .Enis Karaarslan Web Altyapısı Farkındalığı (devam) HHazır portal](https://reader034.fdocument.pub/reader034/viewer/2022051920/600d76595e1ed3334f2cf080/html5/thumbnails/24.jpg)
06/04/0706/04/07 ULAKCSIRT – .Enis KaraarslanULAKCSIRT – .Enis Karaarslan
İlginiz için teşekkürler ....İlginiz için teşekkürler ....Sorularınızı bekliyoruz.Sorularınızı bekliyoruz.
İletişim için: İletişim için: [email protected]@karaarslan.net
ULAKCSIRTULAKCSIRThttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr