ݺߣ

ݺߣShare a Scribd company logo

Açık Kaynak Kodu ve Güvenlik

Download as PPT, PDF
Burak DAYIOGLU
Burak DAYIOGLU

Artık adını bile anımsayamadığım bir etkinlikte yapılan sunumun slaytları.

1 of 17
Downloaded 47 times
Sunum Planı Açık kaynak kodun güvenliğe etkisi Açık kaynak kodlu güvenlik yazılımları Güvenlik duvarları Saldırı tespit sistemleri VPN yazılımları Ağ trafik analizi sistemleri Zafiyet tarayıcıları Parola kırıcıları Kaynak kod güvenlik analizi yazılımları
Açık Kod ve Yazılım Güvenliği Kaynak kodların açıklığı yazılım güvenliğine ve güvenilirliğine önemli katkı sağlar Yazılımlar çok sayıda bağımsız uzman tarafından incelenir Hatalar daha kısa sürelerde bulunarak giderilebilir Diebold oylama sistemleri Yazılımlar içerisindeki arka-kapıların tümü elenebilir UNIX SNMP sunucuları İnceleneceğini bilerek yazılım geliştirenler daha özenli çalışırlar ( Sahne Etkisi )
Kaynak Kod Açıklığı Yeterli Mi? Kaynak kodun açıklığı tek başına yeterli değildir İyi bir tasarım, kapsamlı bir risk analizi ve yapısal sınama bir ön-şarttır Bir yazılımın kaynak kodunda tariflenen davranışı ile çalışma zamanı davranışı bilinçli biçimde farklılaştırılabilir Yapısal sınamalar için özgür proje grupları da katkı vermektedir Sardonix projesi özgür yazılım projelerinin bağımsız gruplar tarafından yapısal sınamalarını gerçekleştirmektedir http://www.sardonix.org
Açık Kodlu Güvenlik Yazılımları Ağ ve sistem güvenliğinin sağlanması için, hemen her alanda, açık kaynak kodlu güvenlik yazılımları mevcuttur Açık kaynak kodlu güvenlik yazılımlarının karakteristik özellikleri Yüksek teknik nitelikleri ve özelleştirilebilmeleri Akademik araştırmalara temel teşkil etmeleri Göreli kullanım güçlüğü ve yüksek teknik birikim gereksinimi Ticari ürünlerin içerisinde gömülü kullanımlar
Güvenlik Duvarları Linux işletim sistemi ile entegre biçimde dağıtılan Netfilter (iptables) oldukça yaygın olarak kullanılmaktadır Tüm temel paket filtreleme özellikleri desteklenmektedir OpenBSD işletim sistemi için geliştirilen pf , daha yüksek teknik niteliklere sahiptir Entegre trafik biçimlendirme Kullanıcı doğrulaması ve kullanıcılara özel kurallar Yüksek-erişilebilirlik
Güvenlik Duvarı Yönetimi Firewall Builder güvenlik duvarı yönetimi için bir yapılandırma aracıdır (http://www.fwbuilder.org) Farklı firewall yazılımlarını tek arayüzden idare edebilmeye imkan verir Netfilter (iptables), pf, ipf ve Cisco PIX
Saldırı Tespit Sistemleri Snort (http://www.snort.org), endüstri tarafından da yaygın biçimde kullanılan popüler bir ağ tabanlı saldırı tespit sistemidir Gerçek zamanlı trafik analizi Kural tabanlı / özelleştirilebilme 2000+ farklı saldırıyı tanımlayabilme Prelude (http://www.prelude-ids.org), hem ağ ve hem de sunucular üzerinden veri toplayabilen bir saldırı tespit sistemidir Sistem kayıtlarından, ağ analizinden ve entegre edilen diğer uygulamalardan (Snort, honeyd, nessus vb.) veri toplayabilmektedir
Güvenli İletişim Yazılımları VPN bağlantıları için Linux ve OpenBSD IP yığıtları iki önemli yazılım kümesidir Her iki yazılım da siteler-arası (site to site) ya da istemciden siteye (client-to-site) VPN tünellemesi için kullanılabilecek teknik niteliklere sahiptir OpenSSH (http://www.openssh.org) , güvenli uzak erişim için kullanılan SSH protokolünün en yaygın gerçekleştirimidir Güvenli bir telnet ve ftp alternatifidir
Ağ Trafik Analizi Ethereal (http://www.ethereal.com) gelişmiş bir trafik inceleme sistemidir (network sniffer) Ağ trafiğinin gerçek zamanlı incelenmesi, protokol istatistiklerinin çıkartılması ve protokol çözümlemesi gerçekleştirebilmektedir Ağ üzerinden aktarılan dosyaları diske kaydedebilmektedir Dsniff (http://www.monkey.org/~dugsong/dsniff) , anahtarlanmış (switched) ağlarda trafik incelemesi imkanı sağlar Parola kaydı için özel becerilere de sahiptir
Zafiyet Tarayıcıları Nmap (http://www.insecure.org/nmap), teknolojik açıdan en gelişmiş port tarayıcısıdır Çok sayıda farklı tarama ve hedef şaşırtma tekniğini uygulayabilmektedir Pek çok ticari zafiyet tarayıcısı içerisinde nmap gömülü olarak çalışmaktadır
Zafiyet Tarayıcıları Nessus (http://www.nessus.org) , bilinen en başarılı zafiyet tarayıcılarından birisidir 2000+ farklı zafiyeti tanımlayabilir Plug-in mimarisi sayesinde yeni testler eklenebilir Gelişmiş raporlama becerilerine sahiptir
Parola Kırıcıları John the Ripper (http://www.openwall.org) , zayıf parolaları tespit etmek için kullanılabilecek bir parola kırma yazılımıdır Parola dosyasının programa verilmesi ile çalışır Zayıf UNIX ve Windows parolalarını tespit edebilir Hydra (http://www.thc.org) zayıf parolaların ağ üzerinden tespit edilmesi için kullanılabilecek bir araçtır Pek çok farklı protokolü destekler (HTTP, SNMP, FTP, IMAP, POP3 vb.) Paralel biçimde birden çok parolayı aynı anda deneyebilir
Kaynak Kod Analizi Yazılımları Kod analizi yazılımları, yazılım kaynak kodlarını inceleyerek güvenlik problemlerine neden olabilecek bölümlerin tespit edilmesini sağlar: Splint (http://lclint.cs.virginia.edu/) Valgrind (http://valgrind.kde.org) ITS4 (http://www.cigital.com/its4/) RATS (http://www.securesoftware.com/download_rats.htm) Bu araçların yazılım kaynak kodları üzerinde çalıştırılması ile problemler yazılım dağıtımından önce tespit edilebilir
Ticari Ürünlerde Kullanımı Pek çok yazılım üreticisi açık kaynak kodlu yazılımları ürünleri içerisinde kullanmaktadır Sınanmış güvenilir yazılım bileşenlerinden faydalanılması Düzenli olarak güncellenen ve geliştirilen bileşenlerin kullanılması Ürünlerin daha kısa sürelerde pazara sunulabilir hale getirilmesi Pro-G ürünleri içerisinde açık kaynak kodlu yazılım bileşenleri de kullanmaktadır
Açık Kaynak Kod ve Güvenlik Açık kaynak kodlu yazılımlardan faydalanılarak Yüksek nitelikli Maliyet-etkin Özelleştirilebilir / geliştirilebilir bir güvenlik altyapısının oluşturulması mümkündür Bilişim güvenliği konusuna ilgi duyanlar bu yazılımları inceleyerek birikimlerini arttırabilirler, yeni fikirlerini sınayabilirler

More Related Content

Açık Kaynak Kodu ve Güvenlik

  • 1.
  • 2. Sunum Planı Açık kaynak kodun güvenliğe etkisi Açık kaynak kodlu güvenlik yazılımları Güvenlik duvarları Saldırı tespit sistemleri VPN yazılımları Ağ trafik analizi sistemleri Zafiyet tarayıcıları Parola kırıcıları Kaynak kod güvenlik analizi yazılımları
  • 3. Açık Kod ve Yazılım Güvenliği Kaynak kodların açıklığı yazılım güvenliğine ve güvenilirliğine önemli katkı sağlar Yazılımlar çok sayıda bağımsız uzman tarafından incelenir Hatalar daha kısa sürelerde bulunarak giderilebilir Diebold oylama sistemleri Yazılımlar içerisindeki arka-kapıların tümü elenebilir UNIX SNMP sunucuları İnceleneceğini bilerek yazılım geliştirenler daha özenli çalışırlar ( Sahne Etkisi )
  • 4. Kaynak Kod Açıklığı Yeterli Mi? Kaynak kodun açıklığı tek başına yeterli değildir İyi bir tasarım, kapsamlı bir risk analizi ve yapısal sınama bir ön-şarttır Bir yazılımın kaynak kodunda tariflenen davranışı ile çalışma zamanı davranışı bilinçli biçimde farklılaştırılabilir Yapısal sınamalar için özgür proje grupları da katkı vermektedir Sardonix projesi özgür yazılım projelerinin bağımsız gruplar tarafından yapısal sınamalarını gerçekleştirmektedir http://www.sardonix.org
  • 5. Açık Kodlu Güvenlik Yazılımları Ağ ve sistem güvenliğinin sağlanması için, hemen her alanda, açık kaynak kodlu güvenlik yazılımları mevcuttur Açık kaynak kodlu güvenlik yazılımlarının karakteristik özellikleri Yüksek teknik nitelikleri ve özelleştirilebilmeleri Akademik araştırmalara temel teşkil etmeleri Göreli kullanım güçlüğü ve yüksek teknik birikim gereksinimi Ticari ürünlerin içerisinde gömülü kullanımlar
  • 6. Güvenlik Duvarları Linux işletim sistemi ile entegre biçimde dağıtılan Netfilter (iptables) oldukça yaygın olarak kullanılmaktadır Tüm temel paket filtreleme özellikleri desteklenmektedir OpenBSD işletim sistemi için geliştirilen pf , daha yüksek teknik niteliklere sahiptir Entegre trafik biçimlendirme Kullanıcı doğrulaması ve kullanıcılara özel kurallar Yüksek-erişilebilirlik
  • 7. Güvenlik Duvarı Yönetimi Firewall Builder güvenlik duvarı yönetimi için bir yapılandırma aracıdır (http://www.fwbuilder.org) Farklı firewall yazılımlarını tek arayüzden idare edebilmeye imkan verir Netfilter (iptables), pf, ipf ve Cisco PIX
  • 8. Saldırı Tespit Sistemleri Snort (http://www.snort.org), endüstri tarafından da yaygın biçimde kullanılan popüler bir ağ tabanlı saldırı tespit sistemidir Gerçek zamanlı trafik analizi Kural tabanlı / özelleştirilebilme 2000+ farklı saldırıyı tanımlayabilme Prelude (http://www.prelude-ids.org), hem ağ ve hem de sunucular üzerinden veri toplayabilen bir saldırı tespit sistemidir Sistem kayıtlarından, ağ analizinden ve entegre edilen diğer uygulamalardan (Snort, honeyd, nessus vb.) veri toplayabilmektedir
  • 9. Güvenli İletişim Yazılımları VPN bağlantıları için Linux ve OpenBSD IP yığıtları iki önemli yazılım kümesidir Her iki yazılım da siteler-arası (site to site) ya da istemciden siteye (client-to-site) VPN tünellemesi için kullanılabilecek teknik niteliklere sahiptir OpenSSH (http://www.openssh.org) , güvenli uzak erişim için kullanılan SSH protokolünün en yaygın gerçekleştirimidir Güvenli bir telnet ve ftp alternatifidir
  • 10. Ağ Trafik Analizi Ethereal (http://www.ethereal.com) gelişmiş bir trafik inceleme sistemidir (network sniffer) Ağ trafiğinin gerçek zamanlı incelenmesi, protokol istatistiklerinin çıkartılması ve protokol çözümlemesi gerçekleştirebilmektedir Ağ üzerinden aktarılan dosyaları diske kaydedebilmektedir Dsniff (http://www.monkey.org/~dugsong/dsniff) , anahtarlanmış (switched) ağlarda trafik incelemesi imkanı sağlar Parola kaydı için özel becerilere de sahiptir
  • 11. Zafiyet Tarayıcıları Nmap (http://www.insecure.org/nmap), teknolojik açıdan en gelişmiş port tarayıcısıdır Çok sayıda farklı tarama ve hedef şaşırtma tekniğini uygulayabilmektedir Pek çok ticari zafiyet tarayıcısı içerisinde nmap gömülü olarak çalışmaktadır
  • 12. Zafiyet Tarayıcıları Nessus (http://www.nessus.org) , bilinen en başarılı zafiyet tarayıcılarından birisidir 2000+ farklı zafiyeti tanımlayabilir Plug-in mimarisi sayesinde yeni testler eklenebilir Gelişmiş raporlama becerilerine sahiptir
  • 13.
  • 14. Parola Kırıcıları John the Ripper (http://www.openwall.org) , zayıf parolaları tespit etmek için kullanılabilecek bir parola kırma yazılımıdır Parola dosyasının programa verilmesi ile çalışır Zayıf UNIX ve Windows parolalarını tespit edebilir Hydra (http://www.thc.org) zayıf parolaların ağ üzerinden tespit edilmesi için kullanılabilecek bir araçtır Pek çok farklı protokolü destekler (HTTP, SNMP, FTP, IMAP, POP3 vb.) Paralel biçimde birden çok parolayı aynı anda deneyebilir
  • 15. Kaynak Kod Analizi Yazılımları Kod analizi yazılımları, yazılım kaynak kodlarını inceleyerek güvenlik problemlerine neden olabilecek bölümlerin tespit edilmesini sağlar: Splint (http://lclint.cs.virginia.edu/) Valgrind (http://valgrind.kde.org) ITS4 (http://www.cigital.com/its4/) RATS (http://www.securesoftware.com/download_rats.htm) Bu araçların yazılım kaynak kodları üzerinde çalıştırılması ile problemler yazılım dağıtımından önce tespit edilebilir
  • 16. Ticari Ürünlerde Kullanımı Pek çok yazılım üreticisi açık kaynak kodlu yazılımları ürünleri içerisinde kullanmaktadır Sınanmış güvenilir yazılım bileşenlerinden faydalanılması Düzenli olarak güncellenen ve geliştirilen bileşenlerin kullanılması Ürünlerin daha kısa sürelerde pazara sunulabilir hale getirilmesi Pro-G ürünleri içerisinde açık kaynak kodlu yazılım bileşenleri de kullanmaktadır
  • 17. Açık Kaynak Kod ve Güvenlik Açık kaynak kodlu yazılımlardan faydalanılarak Yüksek nitelikli Maliyet-etkin Özelleştirilebilir / geliştirilebilir bir güvenlik altyapısının oluşturulması mümkündür Bilişim güvenliği konusuna ilgi duyanlar bu yazılımları inceleyerek birikimlerini arttırabilirler, yeni fikirlerini sınayabilirler