Özet: Network sızma
testi bilgisayar ağ altyapısında mevcut olan zafiyetleri ve açıklıkları
tanımlayarak güvenlik düzeyimizi ölçmeye yardımcı olur. Bu yazının amacı,
gerçek dünyadaki saldırıları olabildiğince modelleyerek, sızma testlerinin
metodolojisini açıklamak, ağ güvenliği için önemli kısımlarının nasıl test
edilmesi gerektiğini göstermektir. Başarılı sızma testleri güvenlik
iyileştirmeleri yapabilmemiz için bize kanıtlar sağlar. Sızma testlerinde yüksek
seviyedeki zayıf noktalara odaklanılır ve false positive durumu oluşmaz.
1.
GİRİŞ:
Sızma
testleri, IT sistemlerinde Hacker, Crackers, vs. gibi bilgisayar korsanlarının
tehditi altındaki sistemleri ortaya çıkarabilir. Tehdit altında olan bu
açıklıkların net bir resmi çıkartılır ve tedbirlerin alınması sağlanır.
Günümüzde ücretsiz ve ticari olarak birçok güvenlik açığı tarayan yazılım
mevcuttur, bunların birçoğu güncellenip yeni zafiyetleri tanıma yeteneğine
sahiptir ve açıklıkları bulmakta bize oldukça kolaylık sağlar.
Saldırgan
çeşitleri:
“Hacker”
terimi IT sistemlerine, kimlik doğrulama olmaksızın illegal yollarla yetkili bir
erişim sağlayan kişi için kullanılır.
"Hackerlar" teknik
nedenlerle BT sistemindeki güvenlik açıklarını hedefleyen akıllı programcılar
olarak görülür, girdikleri sistem dışında herhangi bir şeye zarar vermezler.
"Crakerlar" kendilerine avantaj,
sosyal ilgi veya saygı kazandırmak için BT sistemlerinin zayıf noktalarını
kullanan, suç potansiyeline sahip insanlardır. Normalde yasadışı olarak bir yazılımın
seri numarası veya parolasını kırarak komple yazılıma erişen kişilerdir.
“Script kiddies” genellikle,
derinlemesine bir bilgi sahibi olmayan ancak bu konuya merak sarmış, internette
bulduğu araçlarla saldırı yapan kişilerdir.
Tüm bu
potansiyel saldırganlar, BT altyapısına yönelik saldırılar gerçekleştirmek için
çeşitli nedenlere, motivasyonlara sahip olabilirler.
2.
ÖNEMLİ AĞ
ATAKLARI:
IT
network altyapısına zarar verebilecek, manipüle edebilecek birçok atak yöntemi
vardır;
2.1.
Ağ Tabanlı
saldırılar:
"Ağ
tabanlı saldırılar", zaafiyeti sömürmek ve hasar vermek için ağ protokolü
işlevlerini kullanır. Ağ tabanlı saldırılar; Port Tarama, IP Spoofing,
Sniffing, Session Hijacking, DoS saldırıları, Buffer overflow saldırıları,
Format strings saldırıları ve işletim sistemi, uygulama ve ağ protokollerindeki
zafiyetleri sömüren ataklar olarak listelenebilir.
2.2.
Sosyal
Mühendislik saldırıları:
Sosyal
mühendislik saldırıları; saldırganların, ayrıcalıklı bilgiye sahip kişilere
yönelik, şifre ve güvenlikle ilgili bilgileri ortaya çıkarmak için yaptığı aldatma
girişimidir. Bu teknik ile muhtemel saldırı aralıkları çok geniştir. Güvenlikle
ilgili bilgilerin gasp yoluyla elde edildiği durumlarda bu kapsamdadır. Sosyal
Mühendislik sızma testi, belirli politikalar ve prosedürlerin test edildiği
durumlarda en iyi sonucu verir.
3.
SIZMA TESTİ: TEST
ADIMLARI
Networkte
sızma testi için aşağıdaki adımlar uygulanır:
3.1.
Hedef sistem
hakkında bilgi edinme:
İnternet
üzerinden erişilebilen her bilgisayarın bir IP adresi vardır. Bazı kuruluşlar, internet
üzerindeki sistemlerin ip bloğu hakkında bilgiler sağlar.
3.2.
Sunulan hizmetler
için hedef sistemleri taramak:
Test
edilen sistemlerin port taraması yapılır, açık portlar kontrol edilerek hedef
sistemde kullanılan uygulamalar hakkında bilgi sahibi olunur.
3.3.
Sistem ve
uygulamaları tanımak:
Hedef
sistemdeki işletim sistemleri, uygulamalar ve sürümleri, uygulamalara ait
"parmak izi" ile tanımlanabilir.
3.4.
Zaafiyet
araştırma:
İşletim
sistemlerinin ve uygulamalarının güvenlik açıkları, toplanan bilgiler
kullanarak verimli bir şekilde araştırılabilir. Her işletim sisteminin kendi
zaafiyetleri vardır, bu durum işletim sisteminde saklanan verilerin veya
bilgilerin bir saldırgan tarafından saldırıya uğramasına sebep olur. Bu nedenle
sızma testlerinde işletim sistemine ait bilgiler toplanmalı ve zafiyet olan
sistemlere sızmaya çalışılmalı.
3.5.
Güvenlik
açıklarını kötüye kullanma
Algılanan
güvenlik açıkları, sisteme yetkisiz erişim sağlamak veya daha fazla saldırı
hazırlamak için kullanılabilir. Bir sızma testinin kalitesi ve değeri,
öncelikli olarak testin müşterinin kişisel durumuna ne ölçüde hitap ettiğine
bağlıdır. Yani müşterinin zaman ve kaynaklarının, BT altyapısıyla ilgili
açıkların tespiti için ne kadar harcandığına ve test edenin ne kadar yaratıcı
olduğuna bağlıdır. Bu işlem, genel açıklamada anlatılmamaktadır, bu nedenle bir
sızma testinin kalitesinin hizmet olarak büyük farklılıkları bulunmaktadır.
4.
NASIL ÇALIŞIR?
Aşağıda,
yukarıda verilen adımlara dayalı olarak bir sızma testinin beş aşaması
tanıtılıyor. Her aşama diğerinden bağımsız ancak sırayla gerçekleşir.
1.Aşama: Teste
başlangıç için hazırlık; Müşteri beklentilerini, sızma testinin amaçları üzerine bir
çözüme ulaşma gibi iyi bir zemine oturtmadan yerine getirmek zordur. Sızma testinin
başlangıcında müşterinin hedefleri açıklığa kavuşturulmalı ve tanımlanmalıdır.
İlgili yasal hükümleri tam olarak dikkate almadan bir sızma testinin
uygulanması ceza hukuku veya medeni kanun kapsamında maliyet doğurabilir. Bu
nedenle test işleminin, test prosedürlerinin yasal hükümleri veya sözleşmeleri ihlal
etmeyeceğinden emin olmalıdır. Bir testin başarısızlığı da alternatif taleplere
yol açabilir. Kabul edilen tüm ayrıntılara sözleşmede yazılı olarak yer verilmelidir.
2. Aşama:
İnceleme: Test
etme kararı, hedefleri, kapsamı, prosedürleri, acil önlemleri, sınırlamaları
yasal ve organizasyonel hususlar ve diğer koşullar göz önüne alınarak
tanımlandıktan sonra, test görevlisi hedef sistem hakkında bilgi toplanmaya
başlayabilir. Bu aşama, pasif sızma testidir. Amaç, sistem hakkında eksiksiz
bilgi edinmek ve sistemdeki eksiklikler hakkında bilgi almaktır. İncelenecek
ağın boyutuna bağlı olarak, test aşamaları çok zaman alıcı olabilir. Bu uzun
test adımları genellikle otomatik olarak gerçekleştirilir.
3. Aşama: Elde edilen
bilgilerin ve oluşabilecek riskin analiz edilmesi: Başarılı, açık
ve ekonomik olarak verimli bir prosedür, sisteme aktif olarak nüfuz etme test
adımlarından önce toplanan bilgileri analiz etmeli ve değerlendirmelidir.
Analiz, sızma testinin tanımlanan amaçlarını, sisteme olası riskleri ve
başarılı aktif sızma girişimleri için muhtemel güvenlik kusurlarını
değerlendirmek için gereken zamanı içermelidir. Daha sonra, bu analiz temelinde
4. aşamanın amaçları seçilir. Test yapan kişi, tespit edilen sistemlerin
listesinden, konfigürasyonlarından veya tespit edilen uygulamalar /
servislerden faydalanarak bilinen zayıf noktalara sahip sistemleri seçebilir
4. Aşama: Aktif
saldırı girişimleri: Son olarak, hedef sistemlere aktif bir şekilde saldırılır. Bu aşama
bir sızma testinde en yüksek riski içerir ve dikkatli bir şekilde
uygulanmalıdır. Bununla birlikte, yalnızca bu aşama, inceleme aşamasında
belirlenen zayıf güvenlik açıklarının fiili riskleri ne ölçüde gösterdiğini
ortaya koymaktadır.
Olası
güvenlik açıklarının doğrulanması gerekiyorsa, bu aşama gerçekleştirilmelidir.
Çok yüksek kullanılabilirlik veya bütünlük gereksinimleri olan sistemler için,
arabellek taşması istismarları kullanımı gibi kritik test prosedürlerini
uygulamadan önce potansiyel etkiler dikkatli bir şekilde düşünülmelidir. Beyaz
kutu testinde, sistem hatalarını önlemek için test gerçekleştirmeden önce
kritik sistemlere bir düzeltme ekinin kurulması gerekebilir. Test muhtemelen
herhangi bir güvenlik açığı bulamayacak, ancak sistemin güvenliğini
belgeleyecektir. Bununla birlikte, bir hacker saldırısından farklı olarak, sızma
testi tamamlanmamıştır, devam edecektir
5. Aşama: Nihai
Analiz:
Bireysel test aşamalarının yanı sıra nihai raporda, güvenlik açıkları ve
risklerini ortadan kaldırmak için olası riskler ve tavsiyeler şeklinde değerlendirilmeler
yer almalıdır. Rapor, testlerin şeffaflığını ve test sırasında bulunan zayıf
noktaları garanti altına almalıdır. IT güvenlik risklerinin bulguları, test
prosedürlerinin başarıyla tamamlanmasının ardından müşteri ile ayrıntılı olarak
tartışılmalıdır.
Müşterinin
beklentilerini karşılayan başarılı bir sızma testi için hedeflerin net bir
şekilde tanımlanması önemlidir. Müşteri hazırlık aşamasında bilgilendirmeli ve
BT denetim veya BT güvenlik danışmanlığı hizmetleri gibi alternatif prosedürler
önermelidir. Sızma testi ile elde edilen müşteri hedefleri dört kategoriye
ayrılabilir:
1.
Teknik sistemlerin güvenliğini arttırmak
2.
Güvenlik açıklarını tanımlamak
3. BT
güvenliğinin dışardan bir danışman tarafından onaylanması
4.
Organizasyon ve kişisel altyapı altyapısının güvenliği artırılması
Bir
BT sızma testinin sonucu, yalnızca varolan güvenlik açıklarının listelemez,
aynı zamanda bulunan zaafiyetlerin ortadan kaldırılması için spesifik çözümler
önerir. Çünkü bir sızma testi, sömürülebilir zayıflıkları tanımlamak ve hangi
sistemlerin ve verilerin risk altında olduğunu ortaya çıkarmak için, bir
sisteme "saldırmak" için yetkili, yerel bir girişimdir.
5.
SIZMA TESTİ
UYGULAMASININ KURUMA FAYDALARI
•
Güvenlik olaylarının etkisi, frekansı ve katılığı anlaşılır ve azaltılır.
•
Güvenlik değerlendirmeleri uyumluluk ve düzenleme gereksinimlerini karşılar.
•
Güvenlik açıklarını gidermek için kullanılan kaynakları optimize etme ve
öncelik vermeye yardımcı olur.
•
Güvenlik önlemleri, denetimleri ve politikalarını netleştirir.
• Ağ
altyapısında zayıf noktaları ve riskleri tanımlar.
•
Mevcut güvenlik önlemlerinin etkinliğini doğrular.
• Firmaya
ait kurumsal sistem ve gizli bilgiler için riski ölçer.
•
Kurumsal sorumluluğu olan yöneticilerin farkındalığını arttırır.
• Ağ
güvenliğinin aşılmasını önlemek için ayrıntılı iyileştirme adımları sağlar.
•
Sistem güncellemelerinin güvenliğini doğrular.
•
Çevrimiçi varlıkların bütünlüğünü korur.
•
Federal ve eyalet yönetmeliklerine uyma ve bunlara uyum sağlamaya yardımcı
olur.
•
Otomatikleştirilmiş bir ürün kullanmak, ağınızı sürekli test etmenize ve
uygulamayı genel güvenlik programınıza kolayca entegre etmenize olanak tanır.
Bu, ağın genel güvenliğine daha fazla güveneceğiniz anlamına gelir
• Ne
kadar bilginin dışarıya açık olduğu konusunda bilgi verir.
6.
SIZMA TESTLERİNİN
LİMİTLERİ
Günümüzde
Bilgi Teknolojileri konularındaki hızlı değişimler ve saldırganların gittikçe daha
akıllı ve tehlikeli hale gelmesi, güvenlikle ilgili sorunları çok hızlı bir
şekilde arttırıyor. Bir sistemi daha güvenli hale getirmek için, aynı anda
toplu testler yapmak gerekiyor. Yeni bir güvenlik açığı, bir sızma testi tamamlandıktan
hemen sonra başarılı bir saldırının gerçekleşebileceği anlamına gelebilir. Test
sırasında keşfedilmemiş farklı bir zaafiyetinde saldırıya neden olması
mümkündür. Güvenlik açıklarının
bulunması, sızma testinin kalitesini göstermesine rağmen, Test hizmetinin
tanımı yalnızca güvenlik açıklarını bulmaktır, farklı güvenlik açıklarının olmadığı
anlamına gelmez. Sızma testi raporu, test sırasında kullanılan yöntemleri ve sızma
testi sırasında kullanılan çeşitli prosedürleri açıkladığından ağ güvenlik
konusunda tecrübeye sahip bir kişi testin geçerliliğini ölçebilir.
7.
SONUÇ
Bu
yazıda sızma testi, metodolojileri ve uygulaması hakkında bilgiler verildi. Olası
saldırıları tahmin ederek sunucu ve ağ sistemini, daha güvenilir kılmak için,
tecrübeli güvenlik danışmanlarının gerekli olduğu vurgulandı. Ağ sistemine
sahip kurumlar / ofisler / şirketler, olası saldırıları bilen güvenlik
personelinden faydalanarak olası güvenlik saldırılarının üstesinden gelmek için
bir mekanizma geliştirmesi gerekir. Bunun için sızma testi sürecinin uygun ve
bilimsel olarak oluşturulması ve yürütülmesi gereklidir. Sızma sisteminin test
sonuçlarını belgelemekle birlikte, bilimsel ve usule dayalı bir yaklaşım
olmalıdır. Kurumsal ağlara yapılabilecek saldırılarda gündelik değişiklikler
olduğu için sızma testi metodolojileri de sıklıkla güncellenmelidir. Güncel saldırılara
göre, sızma testi yapan kişi saldırgan gibi düşünerek saldırı tiplerini
değiştirilmelidir. Sızma testi sisteminin konuşlandırıldığı kuruluşlar güvenlik
tedbirleri için yol haritası sağlamalıdır. Bir ölçme aracı olarak, sızma
testleri ile elde edilen bulgularla, yazılım geliştirme süreçlerinde, güvenli
implementasyon için iyileştirmeye yardımcı olabilecek şekilde tam olarak
entegre olarak çalışırsa çok güçlü bir etki bırakacaktır.
8.
KAYNAKÇA
Penetration Testing: A Roadmap to
Network
Yazarlar: Mr. Nitin A. Naik, Mr.
Gajanan D. Kurundkar, Dr. Santosh D. Khamitkar, Dr. Namdeo V. Kalyankar December, 2009
S