7. Güncellemeleri Yapılmamış Web Sunucusu
Açıklama :
Birçok kurum, ağlarında bulunan web sunucu yazılımlarını düzenli olarak
güncellememektedir. Microsoft IIS veya ASF Apache web sunucu yazılımların eski
sürümleri birçok güvenlik açığı barındırmaktadır. Web sunucularının düzenli
güncellenememesinin sebeplerinden en önemlisi, bu yazılımların parçası olduğu ticari
ürünlerin kullanılıyor olmasıdır. Web sunucuda yapılacak sürüm değişikliği veya
güncellemeler, ürün firması tarafından desteğin kesilmesine neden olabilmektedir. Her
iki web sunucusunda da saptanan güvenlik açıkları, web sunucusunun servis dışı
kalmasına veya tüm sunucunun ele geçirilmesine neden olmaktadır. Önceden
belirlenmiş yapılandırma ile kurulan web sunucuları, gerekli olmayan birçok bileşeni
bünyelerinde barındırmakta ve gelecekte bu bileşenlere ait ortaya çıkabilecek güvenlik
açıklarından etkilenebilmektedir.
Çözüm Önerileri :
Web sunucu yazılımların düzenli güncellenmeleri oldukça önemlidir, ayrıca gerekli
olmayan tüm bileşenler (WebDAV, HTTP Trace, Frontpage Uzantıları, Yazıcı desteği,
Index oluşturma desteği ve örnek CGI uygulamaları) sistemden çıkarılmalıdır. Böylece
gelecekte söz konusu bileşenler için duyurulacak güvenlik açıklarından
etkilenilmeyecektir. Microsoft IIS web sunucusu için Microsoft URLScan aracı
kullanılmalı ve tüm web istekleri içeriklerine göre süzülmelidir. Microsoft IIS veya ASF
Apache’nin parçası olduğu ticari ürünler kullanılıyor ve güncellemeler yapılması
durumunda üretici firmanın desteğinin kesilmesi söz konusu ise alternatif yöntemler
kullanılmalıdır. Bir ters proxy aracılığıyla güvenlik açığı barındıran web sunucusuna
doğrudan erişimin kısıtlanması, uygulama katmanında kullanılabilecek içerik denetim
sistemleri, uygulama güvenlik duvarları veya saldırı tespit sistemleri verimli sonuçlar
üreten çözümlerdendir.
8. İşletim Sistemi ve Uygulamaların Standart Şekilde Kurulması
Açıklama :
İşletim sistemleri ve uygulamalar temel kullanım standartları doğrultusunda öntanımlı
bir yapılandırma ile kurulmaktadırlar. Öntanımlı yapılandırma, etkin kullanımda
gerekmeyecek birçok desteği içermekte ve ürünün kullanımının kolaylaştırılması için
sunulmaktadır. İşletim sistemi ve uygulamaların öntanımlı kurulumlarında kolay tahmin
edilebilir şifreler, güvenlik açığı içermekte olan bileşenler ve örnek uygulamalar kolay
kurulum sebebiyle tercih edilmektedir. Bu şekilde kurulan işletim sistemi ve
uygulamalar genel özelliklere sahip olmakta, yayınlanmış ve kullanılmayan
bileşenlerinde içermekte olduğu güvenlik açıklarından etkilenmektedir. Yazılımlarda
bulunan yayınlanmış güvenlik açıkları, kullanımlarının güvenlik tehditi içerebileceği
öngörülmemiş uygulamalar ve gerekli olmayan servisler sonucu, sistemin tamamen ele
geçirilmesi veya servis dışı bırakılması mümkün olmaktadır.
Çözüm Önerileri :
İşletim sistemi ve uygulama kurulumlarında, kurulum seçenekleri özelleştirilmeli,
yönetim şifreleri zor tahmin edilebilir olmalı, gerekli olmayan servisler durdurulmalı ve
örnek uygulamalar sistemden çıkarılmalıdır. Ürün geliştiricisi tarafından sağlanan tüm
güvenlik yamaları ve yapılandırma önerileri yazılımlara uygulanmalıdır. Kurulumlarda
minimalist bir yaklaşım belirlenmeli ve gerekli olmayan tüm erişim yetkileri
kısıtlanmalıdır. Ayrıca düzenli olarak üretici tarafından yayınlanmış güvenlik duyuruları
ve güncel güvenlik e-posta listeleri takip edilmeli, yönergeler izlenmelidir.
9. Hatalı Yapılandırılmış Saldırı Tespit Sistemleri
Açıklama :
Saldırı tespit sistemleri etkin güvenlik için vazgeçilmez uygulamalardır; ancak hatalı
yapılandırılmaları durumunda saldırganların ağ iletişimini aksatabilmesi için en önemli
araçlardandır.
Tespit edilen saldırılara kontrolsüz tepkiler verilmesi durumunda,
• saldırganlar saldırı tespit sisteminin türünü ve özelliklerini saptayabilir,
• çokça yapılan saldırı ile kayıt veritabanlarını doldurabilir,
• sunuculara yönelik servis engelleme saldırısı yapabilir,
• ağda gereksiz veri trafiği oluşturabilir,
• saldırılarını gizleyebilir,
• sahte saldırılar ile kritik görevdeki yönlendirici ve alan adı sunucularına erişimi
kesebilir
• veya güvenlik duvarı aracılığıyla saldırgan engelleme yapılıyor ise güvenlik
duvarının kural tablosunu taşırabilir.
Öntanımlı yapılandırmalarda, saldırı tespit sistemleri saldırı önleme yapmamaktadırlar,
ancak optimizasyon yapılmamış birçok sistemde kontrolsüz olarak saldırı önleme
yapılmaktadır. Güncelleme ve tanımlamaları doğru yapılmamış, güncel yamaları
uygulanmamış sistemlerde, farklı veri ve iletişim türleri seçilmesi durumunda saldırı
tespit edilememektedir.
Çözüm Önerileri :
Ağ üzerinde bir süre saldırı tespit sistemi izleme durumunda çalıştırılmalı ve gelen veri
trafiği türüne bağlı olarak saldırı tespit sistemi kural ve tepki optimizasyonu
yapılmalıdır. Saldırı tespit siteminin saldırı türlerine göre tepki vermesi sağlanmalı,
zorunlu kalmadıkça tepki üretilmemelidir. Güvenilir sistemler tanımı oluşturulmalı,
önemli yönlendiriciler ve alan adı sunucuları ile kritik güvenlik sistemleri güvenilir olarak
tanımlanmalıdır. Tepkiler öncelikle ICMP/TCP/UDP paketleri ile üretilmeli, çok sayıda
saldırı olması durumunda tek bir işlem olarak ele alınmalı ve sürekli saldırılarda
saldırgan sistem güvenlik duvarı tarafından engellenmelidir. Paket ve iletişim analiz
seçenekleri için önerilen yama ve yardımcı yazılımlar kullanılmalı, ürün geliştiricilerinin
hazırlamış oldukları rehber dökümanlarla karşılaştırılarak yapılandırmalar gözden
geçirilmelidir.
10. Güvenlik Duvarı Tarafından Korunmayan Sistemler
Açıklama :
Güvenlik duvarları, kurumların güvenlik sürecinde en önemli bileşenlerdendir. Doğru
yapılandırılmamış veya tasarım hatası içermekte olan güvenlik duvarları, istenen
güvenlik seviyesini sağlayamamaktadır. Özel istemci veya sunuculara verilmiş sınırsız
erişim hakları, güvenlik duvarının önünde bulunan sunucu ve istemciler ile erişim
denetim kuralları özelleştirilmemiş güvenlik duvarları, saldırganların kurum ağına
sınırsız olarak erişimine imkan tanımaktadır. Yayınlanmış güvenlik açıklarının takip
edilmemesi veya yapılandırma hatası sonucu güvenlik duvarı tarafından korunmayan
bir sistem, saldırganın kurum ağına girebilmesi için atlama noktası olabilmektedir.
Çözüm Önerileri :
Güvenlik duvarı tasarımı yapılırken, kurum ağında bulunan ve Internet üzerinden
hizmet sunacak sistemler DMZ bölümüne taşınmalı, yönlendirici ile güvenlik duvarı
arasındaki ağa fiziksel giriş imkanları önlenmeli ve güvenlik duvarı üzerinde düzenli
kontroller yapılarak, özel haklar sağlayan kurallar devre dışı bırakılmalıdır. Özel
amaçlar için güvenlik duvarının dışına yerleştirilmesi gereken sistemlerin,
yapılandırmaları özelleştirilmeli, gerekmeyen servisler durdurulmalı, güvenlik yamaları
tamamlanmalı ve güvenlik duvarı üzerinden ağa erişimlerinde hiçbir özel erişim kuralı
belirlenmemelidir.
SONUÇ :
Raporda yer alan açıklanmış güvenlik açıkları hatalı programlama, hatalı yapılandırma ve
güncelleme yapılmamasından kaynaklanmaktadır. Güvenlik göz ardı edilerek, işlevsellik ve
hız temelli yapılan işlemler, beraberinde çok sayıda güvenlik açığını getirmektedir. Özellikle
sistem ve uygulama yapılandırma sürecinde birçok ürün ve uygulamanın özel yetkiler için
değiştirilmesi, özel izinler tanımlanması, kontrolsüz tepkiler üretilmesi ve örnek uygulamaların
sistemde bırakılması ile sıkça karşılaşılmaktadır. Bu güvenlik açıklarının kullanılması
sonucunda kurumsal ağda birçok yetki kazanılabilmekte ve ağ kaynakları yerel kullanıcılar ile
eşit biçimde kullanılabilmektedir.
Her güvenlik açığının altında çözüm önerileri ve bazı referans dökümanlar yer almaktadır. Bu
şekilde birçok güvenlik problemine karşı korunma sağlanması mümkün olabilecektir. Kapsamlı
bir korunma için kullanılmakta olan güvenlik uygulamaları incelenerek en iyi verim alınacak
biçimde yapılandırılmalı, sunucu ve uygulamaların öntanımlı yapılandırmaları özelleştirilmeli,
şifre politikası oluşturulmalıdır. Ayrıca günümüzde çokça kullanılan kablosuz ağlar, sanal özel
ağlar ve web temelli uygulamaların yapıları incelenmeli, güvenlik seviyeleri arttırılmalı ve
sistem kaydı tutulması sağlanmalıdır.
Güvenlik seviyesinin düzenli olarak izlenmesi, sunucu yazılımlarının güvenlik açıklarının takibi,
zaman içerisinde oluşabilecek güvenlik açıklarına karşı korunma ve bilinmeyen güvenlik
tehditlerinin analizi için düzenli olarak güvenlik denetimi yaptırılmalıdır. Internet ve Intranet
üzerinden yapılabilecek denetimler ile veritabanı sunucuları, yerel ağda bulunan cihazlar,
istemci sistemlerinin yapılandırması ve Internet üzerinden paylaşılan kaynakların güvenliği
analiz edilebilecektir.
Açıklama :
Birçok kurum, ağlarında bulunan web sunucu yazılımlarını düzenli olarak
güncellememektedir. Microsoft IIS veya ASF Apache web sunucu yazılımların eski
sürümleri birçok güvenlik açığı barındırmaktadır. Web sunucularının düzenli
güncellenememesinin sebeplerinden en önemlisi, bu yazılımların parçası olduğu ticari
ürünlerin kullanılıyor olmasıdır. Web sunucuda yapılacak sürüm değişikliği veya
güncellemeler, ürün firması tarafından desteğin kesilmesine neden olabilmektedir. Her
iki web sunucusunda da saptanan güvenlik açıkları, web sunucusunun servis dışı
kalmasına veya tüm sunucunun ele geçirilmesine neden olmaktadır. Önceden
belirlenmiş yapılandırma ile kurulan web sunucuları, gerekli olmayan birçok bileşeni
bünyelerinde barındırmakta ve gelecekte bu bileşenlere ait ortaya çıkabilecek güvenlik
açıklarından etkilenebilmektedir.
Çözüm Önerileri :
Web sunucu yazılımların düzenli güncellenmeleri oldukça önemlidir, ayrıca gerekli
olmayan tüm bileşenler (WebDAV, HTTP Trace, Frontpage Uzantıları, Yazıcı desteği,
Index oluşturma desteği ve örnek CGI uygulamaları) sistemden çıkarılmalıdır. Böylece
gelecekte söz konusu bileşenler için duyurulacak güvenlik açıklarından
etkilenilmeyecektir. Microsoft IIS web sunucusu için Microsoft URLScan aracı
kullanılmalı ve tüm web istekleri içeriklerine göre süzülmelidir. Microsoft IIS veya ASF
Apache’nin parçası olduğu ticari ürünler kullanılıyor ve güncellemeler yapılması
durumunda üretici firmanın desteğinin kesilmesi söz konusu ise alternatif yöntemler
kullanılmalıdır. Bir ters proxy aracılığıyla güvenlik açığı barındıran web sunucusuna
doğrudan erişimin kısıtlanması, uygulama katmanında kullanılabilecek içerik denetim
sistemleri, uygulama güvenlik duvarları veya saldırı tespit sistemleri verimli sonuçlar
üreten çözümlerdendir.
8. İşletim Sistemi ve Uygulamaların Standart Şekilde Kurulması
Açıklama :
İşletim sistemleri ve uygulamalar temel kullanım standartları doğrultusunda öntanımlı
bir yapılandırma ile kurulmaktadırlar. Öntanımlı yapılandırma, etkin kullanımda
gerekmeyecek birçok desteği içermekte ve ürünün kullanımının kolaylaştırılması için
sunulmaktadır. İşletim sistemi ve uygulamaların öntanımlı kurulumlarında kolay tahmin
edilebilir şifreler, güvenlik açığı içermekte olan bileşenler ve örnek uygulamalar kolay
kurulum sebebiyle tercih edilmektedir. Bu şekilde kurulan işletim sistemi ve
uygulamalar genel özelliklere sahip olmakta, yayınlanmış ve kullanılmayan
bileşenlerinde içermekte olduğu güvenlik açıklarından etkilenmektedir. Yazılımlarda
bulunan yayınlanmış güvenlik açıkları, kullanımlarının güvenlik tehditi içerebileceği
öngörülmemiş uygulamalar ve gerekli olmayan servisler sonucu, sistemin tamamen ele
geçirilmesi veya servis dışı bırakılması mümkün olmaktadır.
Çözüm Önerileri :
İşletim sistemi ve uygulama kurulumlarında, kurulum seçenekleri özelleştirilmeli,
yönetim şifreleri zor tahmin edilebilir olmalı, gerekli olmayan servisler durdurulmalı ve
örnek uygulamalar sistemden çıkarılmalıdır. Ürün geliştiricisi tarafından sağlanan tüm
güvenlik yamaları ve yapılandırma önerileri yazılımlara uygulanmalıdır. Kurulumlarda
minimalist bir yaklaşım belirlenmeli ve gerekli olmayan tüm erişim yetkileri
kısıtlanmalıdır. Ayrıca düzenli olarak üretici tarafından yayınlanmış güvenlik duyuruları
ve güncel güvenlik e-posta listeleri takip edilmeli, yönergeler izlenmelidir.
9. Hatalı Yapılandırılmış Saldırı Tespit Sistemleri
Açıklama :
Saldırı tespit sistemleri etkin güvenlik için vazgeçilmez uygulamalardır; ancak hatalı
yapılandırılmaları durumunda saldırganların ağ iletişimini aksatabilmesi için en önemli
araçlardandır.
Tespit edilen saldırılara kontrolsüz tepkiler verilmesi durumunda,
• saldırganlar saldırı tespit sisteminin türünü ve özelliklerini saptayabilir,
• çokça yapılan saldırı ile kayıt veritabanlarını doldurabilir,
• sunuculara yönelik servis engelleme saldırısı yapabilir,
• ağda gereksiz veri trafiği oluşturabilir,
• saldırılarını gizleyebilir,
• sahte saldırılar ile kritik görevdeki yönlendirici ve alan adı sunucularına erişimi
kesebilir
• veya güvenlik duvarı aracılığıyla saldırgan engelleme yapılıyor ise güvenlik
duvarının kural tablosunu taşırabilir.
Öntanımlı yapılandırmalarda, saldırı tespit sistemleri saldırı önleme yapmamaktadırlar,
ancak optimizasyon yapılmamış birçok sistemde kontrolsüz olarak saldırı önleme
yapılmaktadır. Güncelleme ve tanımlamaları doğru yapılmamış, güncel yamaları
uygulanmamış sistemlerde, farklı veri ve iletişim türleri seçilmesi durumunda saldırı
tespit edilememektedir.
Çözüm Önerileri :
Ağ üzerinde bir süre saldırı tespit sistemi izleme durumunda çalıştırılmalı ve gelen veri
trafiği türüne bağlı olarak saldırı tespit sistemi kural ve tepki optimizasyonu
yapılmalıdır. Saldırı tespit siteminin saldırı türlerine göre tepki vermesi sağlanmalı,
zorunlu kalmadıkça tepki üretilmemelidir. Güvenilir sistemler tanımı oluşturulmalı,
önemli yönlendiriciler ve alan adı sunucuları ile kritik güvenlik sistemleri güvenilir olarak
tanımlanmalıdır. Tepkiler öncelikle ICMP/TCP/UDP paketleri ile üretilmeli, çok sayıda
saldırı olması durumunda tek bir işlem olarak ele alınmalı ve sürekli saldırılarda
saldırgan sistem güvenlik duvarı tarafından engellenmelidir. Paket ve iletişim analiz
seçenekleri için önerilen yama ve yardımcı yazılımlar kullanılmalı, ürün geliştiricilerinin
hazırlamış oldukları rehber dökümanlarla karşılaştırılarak yapılandırmalar gözden
geçirilmelidir.
10. Güvenlik Duvarı Tarafından Korunmayan Sistemler
Açıklama :
Güvenlik duvarları, kurumların güvenlik sürecinde en önemli bileşenlerdendir. Doğru
yapılandırılmamış veya tasarım hatası içermekte olan güvenlik duvarları, istenen
güvenlik seviyesini sağlayamamaktadır. Özel istemci veya sunuculara verilmiş sınırsız
erişim hakları, güvenlik duvarının önünde bulunan sunucu ve istemciler ile erişim
denetim kuralları özelleştirilmemiş güvenlik duvarları, saldırganların kurum ağına
sınırsız olarak erişimine imkan tanımaktadır. Yayınlanmış güvenlik açıklarının takip
edilmemesi veya yapılandırma hatası sonucu güvenlik duvarı tarafından korunmayan
bir sistem, saldırganın kurum ağına girebilmesi için atlama noktası olabilmektedir.
Çözüm Önerileri :
Güvenlik duvarı tasarımı yapılırken, kurum ağında bulunan ve Internet üzerinden
hizmet sunacak sistemler DMZ bölümüne taşınmalı, yönlendirici ile güvenlik duvarı
arasındaki ağa fiziksel giriş imkanları önlenmeli ve güvenlik duvarı üzerinde düzenli
kontroller yapılarak, özel haklar sağlayan kurallar devre dışı bırakılmalıdır. Özel
amaçlar için güvenlik duvarının dışına yerleştirilmesi gereken sistemlerin,
yapılandırmaları özelleştirilmeli, gerekmeyen servisler durdurulmalı, güvenlik yamaları
tamamlanmalı ve güvenlik duvarı üzerinden ağa erişimlerinde hiçbir özel erişim kuralı
belirlenmemelidir.
SONUÇ :
Raporda yer alan açıklanmış güvenlik açıkları hatalı programlama, hatalı yapılandırma ve
güncelleme yapılmamasından kaynaklanmaktadır. Güvenlik göz ardı edilerek, işlevsellik ve
hız temelli yapılan işlemler, beraberinde çok sayıda güvenlik açığını getirmektedir. Özellikle
sistem ve uygulama yapılandırma sürecinde birçok ürün ve uygulamanın özel yetkiler için
değiştirilmesi, özel izinler tanımlanması, kontrolsüz tepkiler üretilmesi ve örnek uygulamaların
sistemde bırakılması ile sıkça karşılaşılmaktadır. Bu güvenlik açıklarının kullanılması
sonucunda kurumsal ağda birçok yetki kazanılabilmekte ve ağ kaynakları yerel kullanıcılar ile
eşit biçimde kullanılabilmektedir.
Her güvenlik açığının altında çözüm önerileri ve bazı referans dökümanlar yer almaktadır. Bu
şekilde birçok güvenlik problemine karşı korunma sağlanması mümkün olabilecektir. Kapsamlı
bir korunma için kullanılmakta olan güvenlik uygulamaları incelenerek en iyi verim alınacak
biçimde yapılandırılmalı, sunucu ve uygulamaların öntanımlı yapılandırmaları özelleştirilmeli,
şifre politikası oluşturulmalıdır. Ayrıca günümüzde çokça kullanılan kablosuz ağlar, sanal özel
ağlar ve web temelli uygulamaların yapıları incelenmeli, güvenlik seviyeleri arttırılmalı ve
sistem kaydı tutulması sağlanmalıdır.
Güvenlik seviyesinin düzenli olarak izlenmesi, sunucu yazılımlarının güvenlik açıklarının takibi,
zaman içerisinde oluşabilecek güvenlik açıklarına karşı korunma ve bilinmeyen güvenlik
tehditlerinin analizi için düzenli olarak güvenlik denetimi yaptırılmalıdır. Internet ve Intranet
üzerinden yapılabilecek denetimler ile veritabanı sunucuları, yerel ağda bulunan cihazlar,
istemci sistemlerinin yapılandırması ve Internet üzerinden paylaşılan kaynakların güvenliği
analiz edilebilecektir.