A
aykut03
Kullanıcı
Türkiyede Bilişim Teknolojileri üzerine uzun bir değerlendirme ...
TÜRKİYE’DE BİLİŞİM TEKNOLOJİLERİ YAZI DİZİSİ-1
Güvenlik açıkları nedeniyle işletmeler para ve itibar kaybına uğrayabilir ve hizmetleri aksayabilir. Bilişim Teknolojilerinde güvenlik idari ve teknik anlamda ele alınması gereken uzun soluklu bir süreçtir. Güvenlik zafiyetleri yazılım-donanım bazında alınması gereken teknik tedbirlerin yetersizliğinden kaynaklanabileceği gibi, fiziki güvenliğin zayıflığından veya kullanıcıların bilinçsizliğinden de kaynaklanabilir. O nedenle alınan tedbirler sık aralıklarla gözden geçirilmeli, gerekli düzeltmeler yapılmalı ve işletme çalışanları güvenlik konusunda eğitilmelidir.
Türkiye’de Durum Nasıl ?
Türkiye’de bakıldığı zaman özel sektör güvenliği ciddiye alıyor. Son yıllarda artan özelliklede bankacılık sektörünü vuran hacker’lar özel sektörü ciddi teknolojik yatırımlara sürükledi. Özel sektör hacker’larin yapabileceklerini, hacker gibi çalışan güvenlik uzmanları ile çalışarak korunmaya çalışıyor. Bu durum büyük şirketler için geçerli oluyor.
Kamu kurumlarına gelirsek; Maalesef özel sektör kadar bu durum hala ciddiye alınmıyor. Milyarlarca para verilerek alınan sistemler, yaşları 14 ila 25 arasında değişen bilgisayar korsanları tarafından alt ediliyor. Her zaman büyük zararlar verilemiyor ancak gene de devletin kurumlarının güvenliği yetersiz. Özelliklede E-Devlet projesine girilen bir dönemde kurumların daha çok bilgili personel yetiştirmesi, uzmanlardan yardım alması ve güvenlik işini gerçekten ciddiye almaları artık Hacker kavramını tanımaları ve bilmeleri gerekmektedir.
Ülkemiz bu konu da diğer Batı ülkelerine göre biraz geri kalmış durumdadır. Temennim en kısa zamanda bu durumun ortadan kalkması ve Devlet kurumlarının da güvenliğinin artırılmasıdır.
Sistem Güvenliği Nasıl Sağlanır?
Sistemimizin elektronik ortamda güvende olmasi ilk olarak sistemizin fiziksel olarak güvende olmasina baglidir. Sunucularimiz (Server) için düsünürsek, sunucularimiz kesinlikle erisimin yetkili kisiler disinda yasak oldugu kilitli bir odada tutulmalidir.Bu sayede fiziksel erisimin verdigi avantajlari sistem sorumlulari haricinde hiç kimse kullanamaz.
Ayrica sunucumuzu, ne yaptigindan haberi olmayan bir kullanici kapatamaz. Konustugumuz sistem eger bir kullanici bilgisayari (workstation) ise, kullanicilarin direkt erisimi olan bir bilgisayar olarak, kasasinin kesinlikle açilmamasi için özel kilitlenebilir kasalardan alinmasini tavsiye ederim. Bu durumda ayrica BIOS sifresi atanmasi dogru olacaktir ki, kullanicilar istedikleri medyadan sistemi baslatamasinlar. Tahmin edilecegi gibi sistemin sadece diskimizinden baslatilmasina izin verecegiz. Kesinlikle sitemin tasinabilir medyalardan baslatilamayacagindan emin olmaliyiz. Yoksa bizim sistemimiz yerine tasinabilir bir medyadaki baska isletim sistemini baslatabilen bir kullanici, sistemimizdeki yetkilendirmeyi devre disi birakip, yerel sistemde istedigi islemi yapabilir.
Ikinci asamada sistemimizin kurulmasi sirasinda dikkat edilmesi gerekli noktalar vardir. Sistem kurulmadan önce ise bazi sorulara cevap bulmaliyiz:
1- Sistemimiz agimizda hangi görevleri yapacak?(DNS ,WWW,MAIL, etc)
2- Sistemimizin hangi protokolleri kullanmaya ihtiyaci var?
3- Sistemimiz kaç ethernet kartina sahip olacak ve bunlarin IP adresleri ne olacak?
4- Sistemimizin bu isleri yapmasi için minimum hangi servislere ihtiyaci var?
Eger bu sorulari cevapladiysak, sistemimizi kurmaya baslayabiliriz. Artik hangi bilesenleri nasil yükleyecegimizi bildigimize göre sistemin baslangiç kurulumunu yapabiliriz. Ilk kurulumun hemen ardindan baska bir bilgisayardan, sistemin üstündeki servis ve diger uygulamalarin resmi web sitelerinden son güncellemeleri ve güvenlik yamalarini indirip, bunlari uygulamaliyiz.
Üçüncü asamada ise güvenlik yapimiz olan Kullanici dogrulama (Authentication), Yetkilendirme (Authorization), Kullanici aktivitelerinin izlenmesi (Accounting) AAA olarak bilinen sistemi ayarlamak var. Bu yapi çok basit ve eger dogru kullanilirsa çok faydalidir. Ama dikkat edilmesi gereken noktalar vardir. Simdi bu islemi asama asama ele alalim.
Kullanici dogrulama (Authentication) islemi adindan da çok rahat anlasilabilecegi üzere, sisteme erismek isteyen kisinin verdigi kullanici isminin (account) sistemde olup olmadigini kontrol edip, bu kisiye bu kullanicinin sifresini soracaktir. Verilen bilgilerin, yani kullanici adi ve sifrenin, sistemde varligi ve dogrulugu onaylandiktan sonra sisteme giris için izin verilmektedir. Burada dikkat edilmesi gereken nokta sisteme anonim (anonymous) erisim için izin verilip verilmeyecegidir. Burada sadece web, ftp, telnet gibi hizmetleri düsünmeyip, sistem üzerinde açik her portu ve her servisi düsünmeliyiz. Tabii ki en basta belirttigim gibi sadece gerekli servisler var ve onlarin ayarlari da özenle yapiliyorsa bir sorun yok demektir. Sonuç olarak sisteme kimlerin erismesi gerektigi sorusuna cevap verdikten sonra bu kullanicilar disinda erisim olmamasi için gerekli düzenlemeleri yapmaliyiz. Ayrica erisimi olan kullanicilarimizin da sifrelerinin gerektigi kadar güvenli olduguna emin olmak için bir sifre politikasi izlemeliyiz ve kullanicilari buna uymaya zorlamaliyiz. Burada registry’de yapilmasi tavsiye edebilecegim degisiklikler:
Sifre Politikasi(Password Policy)
Enforce Password History 6
Maximum Password Age 40
Minimum Password Age 10
Minimum password length 8
Passwords Must Meet Complexity Requirements Enabled
Store Password Using Reversible Encryption Disabled
Kullaniciyi geçici iptal (Account Lockout Policies)
Account Lockout Threshold Enabled
4
Account Lockout Duration Enabled 90
Reset Account Lockout Threshold After Disabled
TÜRKİYE’DE BİLİŞİM TEKNOLOJİLERİ YAZI DİZİSİ-1
Güvenlik açıkları nedeniyle işletmeler para ve itibar kaybına uğrayabilir ve hizmetleri aksayabilir. Bilişim Teknolojilerinde güvenlik idari ve teknik anlamda ele alınması gereken uzun soluklu bir süreçtir. Güvenlik zafiyetleri yazılım-donanım bazında alınması gereken teknik tedbirlerin yetersizliğinden kaynaklanabileceği gibi, fiziki güvenliğin zayıflığından veya kullanıcıların bilinçsizliğinden de kaynaklanabilir. O nedenle alınan tedbirler sık aralıklarla gözden geçirilmeli, gerekli düzeltmeler yapılmalı ve işletme çalışanları güvenlik konusunda eğitilmelidir.
Türkiye’de Durum Nasıl ?
Türkiye’de bakıldığı zaman özel sektör güvenliği ciddiye alıyor. Son yıllarda artan özelliklede bankacılık sektörünü vuran hacker’lar özel sektörü ciddi teknolojik yatırımlara sürükledi. Özel sektör hacker’larin yapabileceklerini, hacker gibi çalışan güvenlik uzmanları ile çalışarak korunmaya çalışıyor. Bu durum büyük şirketler için geçerli oluyor.
Kamu kurumlarına gelirsek; Maalesef özel sektör kadar bu durum hala ciddiye alınmıyor. Milyarlarca para verilerek alınan sistemler, yaşları 14 ila 25 arasında değişen bilgisayar korsanları tarafından alt ediliyor. Her zaman büyük zararlar verilemiyor ancak gene de devletin kurumlarının güvenliği yetersiz. Özelliklede E-Devlet projesine girilen bir dönemde kurumların daha çok bilgili personel yetiştirmesi, uzmanlardan yardım alması ve güvenlik işini gerçekten ciddiye almaları artık Hacker kavramını tanımaları ve bilmeleri gerekmektedir.
Ülkemiz bu konu da diğer Batı ülkelerine göre biraz geri kalmış durumdadır. Temennim en kısa zamanda bu durumun ortadan kalkması ve Devlet kurumlarının da güvenliğinin artırılmasıdır.
Sistem Güvenliği Nasıl Sağlanır?
Sistemimizin elektronik ortamda güvende olmasi ilk olarak sistemizin fiziksel olarak güvende olmasina baglidir. Sunucularimiz (Server) için düsünürsek, sunucularimiz kesinlikle erisimin yetkili kisiler disinda yasak oldugu kilitli bir odada tutulmalidir.Bu sayede fiziksel erisimin verdigi avantajlari sistem sorumlulari haricinde hiç kimse kullanamaz.
Ayrica sunucumuzu, ne yaptigindan haberi olmayan bir kullanici kapatamaz. Konustugumuz sistem eger bir kullanici bilgisayari (workstation) ise, kullanicilarin direkt erisimi olan bir bilgisayar olarak, kasasinin kesinlikle açilmamasi için özel kilitlenebilir kasalardan alinmasini tavsiye ederim. Bu durumda ayrica BIOS sifresi atanmasi dogru olacaktir ki, kullanicilar istedikleri medyadan sistemi baslatamasinlar. Tahmin edilecegi gibi sistemin sadece diskimizinden baslatilmasina izin verecegiz. Kesinlikle sitemin tasinabilir medyalardan baslatilamayacagindan emin olmaliyiz. Yoksa bizim sistemimiz yerine tasinabilir bir medyadaki baska isletim sistemini baslatabilen bir kullanici, sistemimizdeki yetkilendirmeyi devre disi birakip, yerel sistemde istedigi islemi yapabilir.
Ikinci asamada sistemimizin kurulmasi sirasinda dikkat edilmesi gerekli noktalar vardir. Sistem kurulmadan önce ise bazi sorulara cevap bulmaliyiz:
1- Sistemimiz agimizda hangi görevleri yapacak?(DNS ,WWW,MAIL, etc)
2- Sistemimizin hangi protokolleri kullanmaya ihtiyaci var?
3- Sistemimiz kaç ethernet kartina sahip olacak ve bunlarin IP adresleri ne olacak?
4- Sistemimizin bu isleri yapmasi için minimum hangi servislere ihtiyaci var?
Eger bu sorulari cevapladiysak, sistemimizi kurmaya baslayabiliriz. Artik hangi bilesenleri nasil yükleyecegimizi bildigimize göre sistemin baslangiç kurulumunu yapabiliriz. Ilk kurulumun hemen ardindan baska bir bilgisayardan, sistemin üstündeki servis ve diger uygulamalarin resmi web sitelerinden son güncellemeleri ve güvenlik yamalarini indirip, bunlari uygulamaliyiz.
Üçüncü asamada ise güvenlik yapimiz olan Kullanici dogrulama (Authentication), Yetkilendirme (Authorization), Kullanici aktivitelerinin izlenmesi (Accounting) AAA olarak bilinen sistemi ayarlamak var. Bu yapi çok basit ve eger dogru kullanilirsa çok faydalidir. Ama dikkat edilmesi gereken noktalar vardir. Simdi bu islemi asama asama ele alalim.
Kullanici dogrulama (Authentication) islemi adindan da çok rahat anlasilabilecegi üzere, sisteme erismek isteyen kisinin verdigi kullanici isminin (account) sistemde olup olmadigini kontrol edip, bu kisiye bu kullanicinin sifresini soracaktir. Verilen bilgilerin, yani kullanici adi ve sifrenin, sistemde varligi ve dogrulugu onaylandiktan sonra sisteme giris için izin verilmektedir. Burada dikkat edilmesi gereken nokta sisteme anonim (anonymous) erisim için izin verilip verilmeyecegidir. Burada sadece web, ftp, telnet gibi hizmetleri düsünmeyip, sistem üzerinde açik her portu ve her servisi düsünmeliyiz. Tabii ki en basta belirttigim gibi sadece gerekli servisler var ve onlarin ayarlari da özenle yapiliyorsa bir sorun yok demektir. Sonuç olarak sisteme kimlerin erismesi gerektigi sorusuna cevap verdikten sonra bu kullanicilar disinda erisim olmamasi için gerekli düzenlemeleri yapmaliyiz. Ayrica erisimi olan kullanicilarimizin da sifrelerinin gerektigi kadar güvenli olduguna emin olmak için bir sifre politikasi izlemeliyiz ve kullanicilari buna uymaya zorlamaliyiz. Burada registry’de yapilmasi tavsiye edebilecegim degisiklikler:
Sifre Politikasi(Password Policy)
Enforce Password History 6
Maximum Password Age 40
Minimum Password Age 10
Minimum password length 8
Passwords Must Meet Complexity Requirements Enabled
Store Password Using Reversible Encryption Disabled
Kullaniciyi geçici iptal (Account Lockout Policies)
Account Lockout Threshold Enabled
4
Account Lockout Duration Enabled 90
Reset Account Lockout Threshold After Disabled