Mersin Böcek İlaçlama - 0532 132 91 97 - Mersin Haşere İlaçlama

Mersin Böcek İlaçlama - Sağlıklı Günler Sunuyoruz - 0532 132 91 97
Mersin Böcek İlaçlama - 0532 132 91 97 - Mersin Haşere İlaçlama

SGS Böcek İlaçlama (Sağlıklı Günler Sunuyoruz)


    SIK GÖRÜLEN 10 GÜVENLİK AÇIĞI (1)

    Paylaş

    alpergökçehan

    Mesaj Sayısı : 30
    Usta : 90
    Kayıt tarihi : 19/07/09
    Yaş : 37
    Nerden : mersin

    SIK GÖRÜLEN 10 GÜVENLİK AÇIĞI (1)

    Mesaj tarafından alpergökçehan Bir 24th Temmuz 2009, 19:21

    Türkiye’deki Şirketlerde En Sık Rastlanan Güvenlik Açıkları :

    1. Hatalı Kablosuz Ağ Yapılandırması
    2. Hatalı Yapılandırılmış Sanal Özel Ağ (VPN) Sunucuları
    3. Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
    4. Web Uygulamalarında Başka Siteden Kod Çalıştırma
    5. Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları
    6. SNMP Servisi Kullanımı
    7. Güncellemeleri Yapılmamış Web Sunucusu
    8. İşletim Sistemi ve Uygulamaların Standart Şekilde Kurulması
    9. Hatalı Yapılandırılmış Saldırı Tespit Sistemleri
    10. Güvenlik Duvarı Tarafından Korunmayan Sistemler

    İÇİNDEKİLER
    1. Hatalı Kablosuz Ağ Yapılandırması 6
    2. Hatalı Yapılandırılmış Sanal Özel Ağ (VPN) Sunucuları 7
    3. Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi 8
    4. Web Uygulamalarında Başka Siteden Kod Çalıştırma 9
    5. Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları 10
    6. SNMP Servisi Kullanımı 11
    7. Güncellemeleri Yapılmamış Web Sunucusu 12
    8. İşletim Sistemi ve Uygulamaların Standart Şekilde Kurulması 13
    9. Hatalı Yapılandırılmış Saldırı Tespit Sistemleri 14
    10. Güvenlik Duvarı Tarafından Korunmayan Sistemler 15


    1. Hatalı Kablosuz Ağ Yapılandırması
    Açıklama :
    Günümüzde kullanımı oldukça artan kablosuz ağlar, birçok kurumun yerel ağının bir
    parçası olmuştur. Ancak kablosuz ağ erişim noktalarının, istemcilerin ve kablosuz ağ
    tasarımlarının yapılandırmasında güvenlik gereksinimleri göz önüne alınmamaktadır.
    İstemcilerin kimlik doğrulamasının yapılmaması, kriptolu erişim kullanılmaması,
    kablosuz ağların güvenlik duvarı aracılığıyla erişim denetimine tabi tutulmaması ve
    sinyal kalitesinde kısıtlama olmaması, saldırganların kablosuz ağlara sızmasını
    kolaylaştırmaktadır. Kablosuz ağlara sızabilen bir saldırgan, kurum yerel ağına girebilir,
    sunuculara erişim sağlayabilir, tüm ağ erişimlerini izleyebilir veya değiştirebilir.
    Çözüm Önerileri :
    Kablosuz ağ tasarımı yapılırken, kablosuz ağın Internet gibi güvensiz bir ağ olduğu göz
    önüne alınmalı, güvenlik duvarının DMZ bölümünden giriş yapılması sağlanmalı,
    tercihen sanal özel ağ (VPN) sistemleri kullanılmalı, sinyal kalitesinde kısıtlamalara
    gidilmeli ve istemciler harici doğrulama sistemleri tarafından kimlik kontrolüne tabi
    tutulmalıdır. Kurum güvenlik politikası dahilinde, gezgin kullanıcıların sistemlerinde
    kurumda kullanılmamasına rağmen kablosuz ağ kartı bulunması engellenmeli ve
    istemci kurumda iken ağ kartının devre dışı olması sağlanmalıdır.

    2. Hatalı Yapılandırılmış Sanal Özel Ağ (VPN) Sunucuları
    Açıklama :
    Sanal özel ağ (VPN) sunucuları güvensiz ağlar üzerinde güvenli iletişim tünelleri
    oluşturmak için kullanılmaktadır. Genel kullanım alanları arasında; kurum bölgeleri
    arası bağlantıları, çözüm ortakları ile iletişim, veya gezgin istemcilerin yerel ağa güvenli
    bağlanabilmesi sayılabilmektedir. Sıkça karşılaşılan sanal özel ağ güvenlik açıkları
    arasında, sanal özel ağ sunucularında harici kimlik doğrulama sistemleri
    kullanılmaması, sunucunun yerel ağda bulunması sonucu yerel ağa doğrudan erişim,
    istemciler ile Internet arasında iletişim izolasyonu olmaması ve zayıf kriptolama
    algoritmalarının seçilmesi sayılabilmektedir. Güvenlik açığı barındıran sanal özel ağa
    sızabilen bir saldırgan, kurum ağına doğrudan erişim sağlayabilmekte ve yerel kullanıcı
    haklarına sahip olabilmektedir.
    Çözüm Önerileri :
    Sanal özel ağ sunucuları kendilerine ayrılmış bir DMZ bölümü ve güvenlik duvarı
    aracılığıyla yerel ağa bağlanmalıdır. Böylece güvenlik duvarına gelen iletişim kriptosuz
    olacak ve üzerinde erişim denetimi yapılabilecektir. Gezgin kullanıcıların bağlantısında
    ise sayısal sertifika veya tek seferlik şifre gibi kimlik doğrulama yöntemleri
    kullanılmalıdır. Kriptolama amaçlı kullanılacak algoritma mutlak suretle günümüzde
    kolayca kırılamayan algoritmalar (3DES, AES vb.) arasından seçilmelidir. Kullanılacak
    istemci yazılımları, Internet kullanımı ile sanal özel ağ kullanımı arasında izolasyon
    yapmalı ve istemcilerin Internet’te farklı kaynaklara erişimini kısıtlamalıdır. Ayrıca uzak
    erişimlerde sahip olunan yetkiler, yerel ağda sahip olunan yetkilerden çok daha az
    olacak şekilde yapılandırılmalıdır.

    3. Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
    Açıklama :
    Web uygulamalarında bazı bilgilerin tutulabilmesi için SQL veritabanları
    kullanılmaktadır. Uygulama geliştiricileri, bazı durumlarda kullanıcılardan gelen verileri
    beklenen veri türü ile karşılaştırmayarak SQL sorguları içinde kullanmaktadırlar. Genel
    olarak problemler, uygulama geliştiricinin SQL sorgularında anlam ifade edebilecek ‘ ;
    UNION gibi kötü niyetli karakterlere karşı bir önlem almadığı zaman ortaya
    çıkmaktadır. Bu durum kullanıcıya önceden planlanmamış uygulama düzeyinde erişim
    sağlayabilir. İçinde SQL sorgulama barındıran bir çok ürün SQL sorguları
    değiştirilebilmesine (SQL Injection) karşı savunmasızdır. Saldırganlar SQL sorgularını
    değiştirme tekniklerini web sitelerine ve uygulamalara zarar vermek amaçlı
    kullanmaktadırlar. SQL enjeksiyon ile saldırgan tablo yaratabilir, değişiklikler yapabilir,
    veritabanı üzerinde erişim sağlayabilir veya veritabanı kullanıcısının hakları
    doğrultusunda sunucuda komut çalıştırabilir.
    Çözüm Önerileri :
    Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve
    değişkene atanması beklenen veri türü ile kullanıcı girdisi karşılaştırılmalıdır. Beklenen
    girdi türünden farklı karakterler saptanması durumunda, karakterler SQL sorgularında
    anlam ifade etmeyecek biçimde değiştirilmeli, silinmeli veya kullanıcıya uyarı mesajı
    döndürülmelidir. Tercihen uygulamanın tamamı için geçerli olacak, değişken türü ve
    atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonra girdi
    kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir.

    4. Web Uygulamalarında Başka Siteden Kod Çalıştırma
    Açıklama :
    Başka siteden kod çalıştırma (Cross-Site scripting) açıkları, bir saldırganın hedef web
    sitesi aracılığıyla site ziyaretçilerinin sisteminde komut çalıştırabilmesine olanak
    tanımaktadır. Saldırı sonucu olarak site ziyaretçilerinin browser’larında bulunabilecek
    güvenlik açıklarının kullanılması, Javascript/ActiveX ve VBscript komutlarının
    çalıştırılmasını mümkün kılmaktadır. Bu tür komutlar ile kullanıcıya ait site çerezleri
    alınabilir, kaydedilmiş şifreler çalınabilir veya browser’da bulunabilecek güvenlik
    açıkları ile kullanıcı sistemi ele geçirilebilir. Ayrıca elektronik ticaret veya bankacılık
    uygulamaları için sahte giriş ekranları oluşturularak ziyaretçilerin yanıltılması ve
    sonucunda kullanıcıya ait önemli bilgilerin ele geçirilmesi mümkün olabilir.
    Çözüm Önerileri :
    Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve
    değişkene atanması beklenen veri türü ile kullanıcı girdisi karşılaştırılmalıdır. Beklenen
    girdi türünden farklı karakterler (örn. <>/;()) saptanması durumunda, karakterler anlam
    ifade etmeyecek biçimde değiştirilmeli, silinmeli veya kullanıcıya uyarı mesajı
    döndürülmelidir. Tercihen uygulamanın tamamı için geçerli olacak, değişken türü ve
    atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonra girdi
    kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir.

    5. Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları
    Açıklama :
    Ağda bulunan istemci, sistem yöneticisi veya servislere özel kullanıcı hesaplarının
    kolay tahmin edilebilir şifrelere sahip olması, bir saldırganın kurum ağına yönelik
    kullanabileceği en basit saldırı yöntemidir. Özellikle yönlendirici yönetim şifreleri veya
    sunucu servislerine ait kullanıcı hesaplarının şifreleri kolayca tahmin edilebilmektedir.
    Web temelli uygulamaların yaygınlaşması ile web temelli uygulamalar da şifre seçim
    hatalarından etkilenmektedir. Bir saldırganın, yönetim hesaplarını veya geçerli bir
    kullanıcıya ait şifreleri ele geçirmesi durumunda, kurum ağına sınırsız erişim
    sağlanabilmekte ve istenen ağ sistemi kolayca ele geçirilebilmektedir.
    Çözüm Önerileri :
    Şifre seçimi, kalitesi ve yönetimi konusunda kurum politikası oluşturulmalıdır. Başta
    sistem yöneticileri olmak üzere kullanıcıların şifre seçim kriterlerine uyumu, dizin
    hizmetleri veya alan denetçileri ile sağlanmalı ve kullanıcıların daha zor tahmin
    edilebilir şifre seçimleri yapmaları sağlanmalıdır. Özel uygulama alanlarında (sanal
    özel ağ, ERP yazılımları, bankacılık uygulamaları vb.) harici doğrulama sistemleri veya
    sayısal sertifikalar kullanılmalıdır. Web temelli uygulamaların tasarımında, kullanıcı
    hesap yönetimi ve şifre seçimi konusunda, beklenen kriterlerin uygulanması zorlayıcı
    olmalıdır.


    6. SNMP Servisi Kullanımı
    Açıklama :
    SNMP protokolü, ağ yönetim ve izleme amaçlı olarak kullanılmaktadır. Kurumsal
    ağlarda, birçok sunucu veya ağ bileşeninde SNMP servisi kullanılmaktadır. Kurumlar,
    Internet erişim ortamında güvenlik duvarı aracılığıyla sunucularda bulunan SNMP
    servisine erişimleri engellenmektedir. Ancak güvenlik duvarının önünde yer almakta
    olan birçok yönlendirici SNMP servisini ve SNMP servisinin yapısından kaynaklanan
    güvenlik sorunlarını içermektedir. UDP protokolü temelli olması, kullanıcı adı ve şifre
    doğrulamaları kullanmaması, SNMP protokolünün en zayıf yönlerindendir. Yönlendirici
    üzerinde bulunan SNMP servisini ele geçiren bir saldırgan, tüm kurumsal ağ trafiğini
    tünelleme ile kendisine aktarabilir, yönlendirme tablolarında değişiklik yapabilir ve
    kurum ağına geçiş için yönlendiriciyi atlama noktası olarak kullanabilir.
    Çözüm Önerileri :
    Internet erişimine açık sistemlerde SNMP servisinin kullanılmaması tavsiye edilir.
    SNMP protokolünün kullanılması gerekli ise yönlendirici/sunucu üzerinde bulunan
    paket filtreleme seçenekleri ve erişim denetim kuralları aracılığıyla sadece bağlanması
    istenen sistemlere izin verilmelidir. Ayrıca SNMP erişimi için zor bir iletişim kelimesi
    tanımlanmalı ve iletişim TCP protokolü temelli veya yönlendirici/sunucu destekliyor ise
    kriptolu veri trafiği üzerinden yapılmalıdır.

      Forum Saati 24th Eylül 2017, 10:22