Hassas kriptografik verinin yazılımsal bir altyapı üzerinde tutulması bir çok nedenden dolayı güvenli sayılmamaktadır.

Kriptografik veriler

• SSL özel anahtarı,
• IPSEC ve diğer tünel ayarları,
• Şifreleme anahtarları ve
• Doğrulama kodlarını sayabiliriz.

Yazılımsal şekilde anahtar saklamak güvenli değildir

Aşağıda örneklerini verdiğimiz nedenlerden dolayı, yazılım katmanında anahtar saklamak güvenli olarak kabul edilmemektedir.

• Assembly komutları üzerinde reverse engineering yaparak işlem döngüsü takip edilebilir,
• Bir sanallaştırma sistemi üzerinde işlemcinin tüm verilerine erişilebilir,
• Sistem üzerinde brute force atakları ile sınırsız sayıda deneme yapılabilir,

Donanımsal Güvenlik Modülleri

Donanımsal güvenlik modülleri ise USB veya network bağlantısı ile bağlanabilir. HSM yazılımın bulunduğu bilgisayardan fiziksel olarak ayrı bir donanım üzerinde çalışmalıdır. Böylelikle sadece HSM cihazının izin verdiği sınırlı bir protokol dizisi ile kriptografik iletişim sağlanmaktadır. Cihaz ayarları ise ön yüzündeki panel vasıtasıyla yapılmaktadır. Ayrıca HSMler dışarıdan gelebilecek açma ve kesme gibi fiziksel müdehalere karşı korumalı gelmektedir.

Örneğin FIPS-104-2 Level 3 bir HSM kasası açıldığında içerisindeki kriptografik anahtarları silecektir.

Ateşle Barut yanyana durmaz, SSL protokolü iki ayrı anahtar ile çalışmaktadır, birisi özel, diğeri de genel anahtardır. Özel anahtar sunucuda saklanırken, genel anahtar ise gelen iletişim taleplerine cevaben karşı tarafa sunulur.

Genel anahtarla şifrelenmiş tüm bilgi İnternet gibi açık ağ ortamlarında taşınabilir olması karşın sadece özel anahtar ile çözülebilir. Bu nedenle özel anahtarınıza sahip saldırgan ağ üzerinden akan verinizi çözebilir ya da sizin sunucnuz gibi davranap kullanıcı bilgilerine ulaşabilir. HSM kullanıldığında ise özel anahtar hiç bir zaman okunabilir olmayacaktır.

HSM Cihazının ağ bağlantısı sağlandıktan ve IP yapılandırma dosyası düzenlendikten sonra modifiye edilmiş OpenSSL kütüphanesinin HSM ile birlikte çalışan versiyonunu sistem kütüphanesine eklenmesi ile HSM kullanımı kolayca sağlanabilir. Bu şekilde örneğin apache’nin ssl private key dosyası yerine HSM kullanılmış olacaktır. Bu şekilde private hiç bir zaman okunamayacak ancak doğrulamalarda kullanılabilecekitir.

The post HSM Nedir? Neden Kullanılır? appeared first on VeriTeknik.

Linux eğitimlerimiz ile size sistem dünyasının kapılarını açıyoruz, burada ağ ve sistemlerin engin dünyasına dalabilir, tamamı açık kaynak olan derleyiciler ile inanılmaz kodlar yazabilirsiniz. Hiçbir lisans ücreti ödemeden işinizi geliştirmeye başlayabilirsiniz.

Ders içeriği Linux’la ilgili olduğu kadar sizinle de ilgili, metotlar ve deneyimlerle oluşturulmuş bir işletim sistemi size normal yaşantınızda da kendi felsefesini aşılayacaktır. Günlük notlar almak, olayları derecesine göre ölçeklendirmek ve bakacağınız yeri bilmek bunlardan sadece birkaçı.

Linux ile kullanıcısı arasında güçlü bir bağ ve güven vardır, kişiselleştirmede sınır yoktur, öyle ki klavye tuşlarının yerini değiştirmekten tutun da kendi adınızla bir işletim sistemi dahi oluşturabilirsiniz. Görsel tasarımdan elektronik cihaz kontrolüne kadar birçok zengin açık kaynak kütüphanesine kolayca erişilebilir, sanayi 4.0 döneminde kendinizi yeni açılan bu endüstrinin mucitlerinden biri haline getirebilirsiniz. Android telefonlardan ev otomasyon sistemlerine, arabalardan giyilebilir cihazlara kadar uçsuz bucaksız bir dünya yeni mucitlerini bekliyor.

Geleceğin altyapısını oluşturacak bu sistem ile birlikte büyümek ister misiniz?

Bir daha düşünün, bu eğitim sizin için.

VeriTeknik GNU/Linux Kurulum ve Yönetimi Kitabı

Eğitimlerimizde kullandığımız GNU/Linux Kurulum ve Yönetimi kitabımızı dilerseniz ücretsiz olarak buradan okuyabilir ya da daha sonra okumak için pdf formatında indirebilirsiniz.

The post Linux kullanmaya ne dersiniz? appeared first on VeriTeknik.

Bir sunucu savunma programında beklediklerimiz şunlardı

• Remote Desktop koruması olan,
• IPv6 destekleyen,
• Brute force, sproofing, port scanning desteği olan
• footprinti minimal olan,
• SQL injection atakları ile mücadele edebilen,
• IIS ve FTP saldırılarını tespit edebilen ve
• Uzak kara liste ile önceden tespit edilmiş zararlı IP adreslerini bloklayan,

Beklentilerimizin çok yüksek olduğunun farkına varıp, yıllarca birikmiş deneyimimiz, yazılım altyapımız ve test ortamı kapasitemizi göz önünde bulundurarak kendi yazılımızı tasarlamaya karar verdik. Bu kararı verirken, barındırdığımız yüzlerce sunucuya gelen tehditlerle aşina olmamız, neredeyse mükemmel bir test ortamına sahip olmamız en büyük etkenlerden biri idi, evet sunucu merkezi güvenlik yazılımı yazmalıydı ve e.guardo doğdu. İlk sürümünü sunduğumuz bu günlerde dahi elimizde binlerce kara liste IP’si oldu bile.

Peki e.guardo ne vaad ediyor? Sunucunuz ya da bilgisayarınız direk olarak ya da DMZ vasıtasıyla İnternet’e bağlıysa, saldırganların sistemi kırmak, kuluçka haline getirmek ya da sadece eğlence için hedefi olur ve başlangıç düzeyindeki bilgisayar kullanıcılarının bile kullanabileceği Brute Force yazılımları ile şifre kırma işlemleri denenebilir. İşletim sistemi ve servisler hala o kadar ilkel bir yapı ile çalışmakta ki, saatler, günler hatta aylar süren brute force atakları olağandır, ta ki şifrenizi bulana kadar.

e.guardo, tehdit algılama sistemi ile ya da global kara listesi vasıtasıyla bu atakları bertaraf eder.

The post e.guardo, doğru ellerden appeared first on VeriTeknik.

IP adresi nedir?

Kısaca IP adresi olarak adlandırılan İnternet Protokol adresi, cihazların (bilgisayar, yazıcı vb.) birbirleriyle bir ağ üzerinden haberleşebilmek için kullandıkları etikettir. Başka bir bilgisayar ile iletişim kuracak olan bilgisayarımız, paket gönderimi yapabilmek için IP adresine ihtiyaç duyar. Bu yüzden yerel ağımızdaki ve internetteki bütün bilgisayarlar bir IP adresine sahiptir.

Dünya’da IP Adresleri kimin tarafından dağıtılıyor?

IP adresleri “Internet Assigned Numbers Authority (IANA)” tarafından dağıtılmaktadır. 1988′de kurulmasına rağmen aslında ICANN olarak kısaltılan “Internet Corporation for Assigned Names and Numbers” kurumunun bir parçasıdır.

IANA, internetteki 4.29 milyar IP adresinin dağıtımından sorumlu. IANA bu IP adreslerini 5 farklı Bölgesel Internet Tescilcisine (Regional Internet Registry – RIR) dağıtmakta. Söz konusu RIR’ler de bu IP adreslerini Internet servis sağlayıcılarına (ISP) dağıtmaktadır.

Türkiye 5 RIR arasından RIPE NCC (Réseaux IP Européens Network Coordination Centre) sınırlarına dahildir.

IPv6 nedir?

IPv6, günümüzde kullanılan IP adresleme protokolü olan IPv4′ün yerine getirilen protokoldür. IPv4′te yaşanan sıkıntıların büyük çoğunluğuna çözüm olarak sunulmuştur. 128 bitlik adreslerden oluşur ve IPv4′ün aksine gösteriminde sadece rakamlar kullanılmaz, aynı zamanda harfler kullanılır.

IPv4 neden terk edilecek?

IPv4′ün en büyük problemi adresleri 32 bit ile tanımladığından, olası adres sayısındaki yetersizliktir. IPv4 kullanılmaya başlandığında bu kadar yaygın bir kullanım için tasarlanmamıştı. Aslında ARPA’da bir test amaçlı tasarlanan protokolde uzun süre kaç bitlik adresleme kullanılacağı tartışılmış, ancak bir test için 32 bit’in yeterli olacağı, nihayetinde ABD Savunma Bakanlığı’nın testi birkaç milyar cihaz üzerinde yapmasının olası olmadığı düşünülmüştü. Ancak protokol ellerinde olmadan test olmaktan çıktı ve bir anda kullanılmaya başlandı. Durum böyle olunca IP adresleri uzun vadede yetersiz olmaya başladı. Buna geçici çözüm olarak NAT (Network Address Translation – Ağ Adresi Dönüştürme) yöntemi başarıyla kullanıldı fakat bu çözümün geçici olduğu başından beri biliniyordu. Nihayetinde IETF (Internet Engineering Task Force – İnternet Mühendisliği Görev Gücü) IPv4′ün bu problemini giderecek bir protokol arayışına girdi, pek çok tekliften IPv6 en uygunu görüldü ve sistemler bu protokolde çalışacak biçime geliştirilmeye başlandı. Bugün, öngörüldüğü üzere IPv4 adreslerinin sayısı tükenmeye çok yakın durumda ve acilen IPv6′ya geçilmesi gerektiği için Dünya IPv6 günü gibi kampanyalarla süreç hızlandırılmaya, insanlar bilinçlendirilmeye çalışılıyor.

IPv6 ne zaman devreye alınacak ve devreye alınınca IPv4 adresler devre dışı mı kalacak?

IPv6′nın devreye alınacağı net bir zaman yok, aslında pek çok servis için şu anda devrede, sadece yaygın değil. IPv4′ten IPv6′ya bu geçiş yavaş yavaş başladı ve özellikle İnternet Servis Sağlayıcıların IP adres sayılarındaki azalmayla birlikte bu geçişte hızlanmak zorunda kalacaklar. Bu da doğal olarak süreci hızlandıracak. Ancak kimse IPv4′ün devre dışı kalacağını söylemiyor, bütün IPv4 adresleri dolunca bile, adreslemenin olduğu gibi kalarak çalışmaya devam etmesi öngörülüyor.

IPv6′in kapasitesi tahmini olarak ne kadar yetecek?

IPv6 ile 2¹²⁸ adres (yaklaşık 3,4 x 10³⁸, yani 340 trilyon x trilyon x trilyon kadar) mümkün olacak. Bu, IPv4 ile olanının (2³² = 4.294.967.296) çok çok üzerinde. Bu kadar çok sayıdaki IP’nin tükenmesinin mümkün olmadığı düşünülüyor, bu bakımdan IPv6 standardı oluşturulurken teknolojinin ilerlediği doğrultu göz önüne alınarak bu kadar geniş bir tanımlama yapılmış. IPv6 ile birlikte bilgisayarlar, cep telefonları, tabletler gibi cihazların yanı sıra ev eşyaları ve hatta arabaların bile adresleme ihtiyacının giderileceği düşünülüyor. Bir kıyaslama bakımından, dünya üzerinde 7 milyar insan yaşadığı varsayılırsa, IPv6 ile her kişi başına yaklaşık 4,8 x 10²⁸ adres denk gelmektedir.

Sadece yazılım güncelleme ile IPv6′e geçmek mümkün mü? Şirketler ve Kurumlar neler yapmalı?

Sadece yazılım güncellemeleri IPv6 geçişi için yeterli olacaktır. Bugün kullanılan bütün işletim sistemleri (MS Windows, Mac OS, Linux vb.) IPv6 hazır durumdadırlar ancak bu platformlarda geliştirilen yazılımların tamamının hazır oluğu söylenemez. Şu anda işletim sistemleri, her iki protokolü aynı anda destekleyebilecek durumda olduğundan, sistemde IPv4 devre dışı bırakılmadığı sürece eski yazılımlar da çalışmaya devam edebilir. Bu süreçte şirket ve kurumların bilişim bölümlerinde çalışanlara iş düşmektedir. Özellikle güncelleme ve yeni sistem/ağ kurulumlarında IPv6′i dikkate alarak hareket etmeleri gerekmektedir. Kesinlikle IPv4 desteklerini bir anda durdurmamalılar zira IPv4 bir anda bitmeyecek, geçiş süreci aşamalı olacak ve hiçbir zaman bir bitiş tarihi telaffuz edilmeyecek. Ayrıca yerel ağlarında kullandıkları aletlerin (örneğin yazıcılar) eski olmasından kaynaklı asla IPv6 desteği vermemeleri olasılığını göz önünde bulundurmalılar. Bunun haricinde özellikle IPv6 taşınma süreçlerinde ağın neresinden başlamaları gerektiğini iyi kestirmeliler. Örneğin web servislerinin çalıştığı sunucuları taşımadan önce güvenlik duvarlarının IPv6 uyumunu test etmeleri, eğer mevcut güvenlik duvarları IPv6 desteklemiyorsa farklı bir çözüme gitmeleri gerekebilir. Bu konuda doğru stratejiyi izleyip gerekirse teknik elemanlarının konu hakkında eğitilmesi hem geçiş sürecini hızlandıracak, hem de bu süreçte kurum ve çalışanlarının aksamalardan etkilenmemesini sağlayacaktır.

IPv6 için hazır olup olmadığımızı nasıl kontrol edebiliriz?

Kullandığınız işletim sistemi, internet hizmetinizi satın aldığınız servis sağlayıcı ve ayarlarınızın IPv6 için hazır olup olmadığını test edebilmek için www.ip6tools.com adresini ziyaret edebilirsiniz.

The post Türkiye yeni nesil IP adreslerine (IPv6) hazır mı? appeared first on VeriTeknik.