İçindekiler
PCI DSS Güvenli Ödeme Sistemi Nasıl İşler?
IDS (Intrusion Detection System) / IPS (Intrusion Prevention System)
IPS (Intrusion Prevention System) Nasıl Çalışır?
DLP Sisteminin Amaçları Nelerdir?
FIM (Dosya Bütünlüğü İzleme) Nedir?
SIEM (Security Information and Event Management) Nedir?
Penetrasyon (Sızma Testi) Nedir?
Penetrasyon Testlerinin Amaçları
Cyber Physical System (Siber Fiziksel Sistemler)
Giriş
PCI DSS, kredi kartı bilgilerinin güvenliğini sağlamak için geliştirilmiş bir güvenlik standardıdır. Temel hedef, kart ödemelerinin belirlenen düzeydeki kişinin tabi tutulmasını sağlamaktır. Kredi kartı bilgilerinin gerçek saklamasının nasıl korunacağını tanımlar. SSL ve diğer şifreleme yöntemlerinin nasıl ve nerede kullanılması gerektiğine dair rehberlik sağlar.
Özetle, PCI DSS, kartlı ödeme sistemlerinin güvenliğini ve kart sahibi verilerinin korunmasını sağlamayı amaçlar. Ve ayrıca standartlaştırılmış bir dizi güvenlik önlemidir. Kredi kartı işlemlerini işleyen işletmeler ve bankalar için PCI DSS’ye uyum zorunludur.
Özet
PCI DSS, kredi kartı bilgilerinin güvenliğini sağlamak amacıyla geliştirilen bir güvenlik standardıdır. Bu standart, kartlı ödeme sistemlerinin güvenliğini ve kart sahibi verilerinin korunmasını sağlamayı hedeflemektedir. PCI DSS’ye uyum, kredi kartı işlemlerini işleyen işletmeler ve bankalar için zorunludur.
Güvenlik duvarı (firewall), internet üzerinden gelen zararlı trafiği ve saldırıları engellemek amacıyla kullanılan bir güvenlik sistemidir. Firewall, belirli kurallar kullanarak internet trafiğini denetler ve güvenlik politikasına aykırı trafiği engeller. Böylece, sadece izin verilen trafiğin geçebileceği özel bir katman oluşturur.
IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System), ağ güvenliği için kullanılan sistemlerdir. Ağ trafiğini izleyerek güvenlik açıkları, potansiyel saldırılar ve şüpheli aktiviteleri tespit etmeye çalışır. Ve aynı zamanda IPS bu aktiviteleri izler ve engellemeye çalışır. IDS ve IPS araçları, ağ içinde gerçekleşen saldırıları tespit etmek ve engellemek için kullanılır.
DLP (Data Loss Prevention), veri sızıntısı tespitini ve önlenmesini hedefleyen bir sistemdir. Çözümleri, yetkisiz erişimi engelleme, veri depolama, sınıflandırma, erişim yetkilerinin belirlenmesi ve veri sızıntısının önlenmesi gibi işlevlere sahiptir. Ayrıca DLP çözümleri, gizli verilere yetkisiz erişimi tespit etme, yanlışlıkla paylaşımı önleme ve veri güvenliğini sağlama konularında önemlidir.
PCI DSS nedir?
PCI DSS (Payment Card Industry Data Security Standard) yani Ödeme Kartları Endüstrisi Veri Güvenliği Standardı, kartlı ödeme sistemlerinin veri güvenliğinin sağlanması amacıyla Mastercard, Visa, American Express gibi kartlı ödeme dünya markaları tarafından belirlenmiş verilerin kullanımı, korunması, iletimi ile ilgili ortak güvenlik standardıdır. tarafından çıkarılmış standarttır. Kısaca PCI-DSS olarak adlandırılmaktadır. Kredi kartları ile işlem kabul eden tüm işyerleri ve bankalar PCI-DSS standardına uymak zorundadır [ITIL 2011]. PCI-DSS standardı, kredi kartı bilgilerinin güvenliğinin sağlanması için geliştirilmiş bir güvenlik standardıdır. Bu standart, kredi kartı bilgilerinin gerçek muhafazalarının nasıl koruma altına alındığını belirlemekte olup, SSL ve diğer şifreleme yöntemlerinin teknik olarak nasıl ve nerede kullanılması gerektiği konusunda rehberlik sağlar. Ayrıca, günümüzde kullanılan teknik altyapıların etkili bir şekilde değerlendirilmesi için yol gösterici niteliktedir.
PCI DSS Güvenli Ödeme Sistemi Nasıl İşler?
PCI DSS, bankaların iş birliğiyle oluşumları bir konsey tarafından sıkı bir şekilde izlenen bir güvenlik standardıdır. Temel hedef, kart ödemelerinin belirlenen düzeydeki kişinin tabi tutulmasını sağlama. Sistem dahil olmak için, iş yeri ve e-ticaret şirketini inceleyen PCI DSS sertifikası adı verilen uygunluk onaylarını doldurmaları gerekmektedir. Bu form, genel şirket özelliklerine göre. Her şirket veya e-ticaret firması, işlem hacmi (para girişi) temeli aynı değerlendirmeye tabi tutulmaktadır. Seviye bir (PCI DSS Level 1) kapsamındaki kuruluşlar, QSA (Qualified Security Assessor) veya ISA (Internal Security Assessor) değerlendirmesine tabi tutulur. Bu değerlendirmeler, güvenlik kısıtlamalarını bir şekilde değerlendirmek için dış denetim yöntemlerini oluşturmayı amaçlar.
Firewall Nedir
Firewall (İnternet Güvenlik Sistemi), internet üzerinden kullanıcılara bir sistemle olan erişimini sınırlayan veya yayılan bir bilgisayar ve üzerindeki yazılım tarafından ulaşan bir hizmettir. (Parlak, A., & Balık, H. H. 2005). Genellikle bir internet ağ geçidi servisi olarak çalışan güvenlik duvarı, ana internet aktarımlarını sağlar. Güvenlik duvarı sistemleri, tanımlanmış belirli alanlara (telnet, ftp, http vb.) erişim izni vererek, erişim engelleme görevini yerine getirir. Kapsam, İnternet Hizmeti sunan makineler, bilgisayar kullanma güvenlik duvarı sistemleriyle etkisini gösterir.
“Firewall” mantıksal bir güvenlik önlemidir. İnşa edilirken dikkat edilmesi gereken ilk nokta, hangi unsurların korunmaya çalışıldığıdır. İnternete bağlandığında, veriler ve kaynaklar risk altına girebilir.
Veriler: Korunma açısından, veriler üç farklı kategori altında toplanır:
- Gizlilik: Üçüncü tarafların bilmesi istenmeyen bilgiler.
- Bütünlük: Bu tür veriler, üçüncü tarafların değiştirmesini istemediğimiz verilerdir. Verilerin gizli olup olmamasına bakılmaksızın, değiştirilmesi istenmez.
- Erişilebilirlik: Verilerin istendiğinde kullanılabilir olmasıdır.
Kaynaklar: Başkalarının kullandığı sistemlerde, organizasyon kullanmasa bile, sistem sahibi bu verilere erişmek ister. Çünkü bu bilgilerle sistemini geliştirebilir, eksiklikleri görebilir ve düzeltme şansı elde edebilir.
Firewall Nasıl Çalışır?
Firewall cihazları veya yazılımları, iç ağınızı, dışarıdan gelebilecek zararlı trafiğe ve saldırılara karşı korumayı amaçlar. Bu korumayı sağlamak için belirli kuralları kullanarak internet trafiğinizi denetlerler. Eğer firewall, güvenlik politikanıza aykırı bir ağ trafiği tespit ederse, ağınıza erişimi engeller ve güvenli bir katman sağlar, bu trafiği engeller. Firewall cihazları, sadece izin verilen trafiğin geçebileceği özel bir katman oluştururlar. İnternet ile şirket veya ev ağınız arasındaki iletişimin seviyesini kontrol ederek çalışırlar.
IDS (Intrusion Detection System) / IPS (Intrusion Prevention System)
IDS, güvenlik açıkları, potansiyel saldırılar, şüpheli aktiviteler gibi durumlara karşı bir ağı sürekli olarak izleyerek ve tarayarak kullanılan bir yazılım veya donanım güvenlik sistemidir. Saldırıları tespit etmenin yanı sıra karantinaya alma, raporlama, kaydetme gibi farklı işlevlere de sahiptir. Ayrıca, IPS sistemiyle entegre bir şekilde kullanılabilir.
IPS, bir siber saldırı önleme sistemi olarak çalışır ve tehlikeli, şüpheli ve risk oluşturabilecek aktivitelerin izlenmesini ve engellenmesini sağlar. IPS, ağ üzerindeki trafiği sürekli olarak takip eder ve kontrol eder. Ayrıca anormal durumlar tespit edildiğinde, veri akışını kısıtlar ve ağ yöneticisine uyarı gönderir.
Ağ içinde gerçekleşen saldırıları tespit etmek ve engellemek için IDS ve IPS araçları kullanılabilir. Dilimize “Saldırı Tespit Sistemleri” olarak çevrilen IDS, yetkisiz giriş ve aktiviteleri tespit etmek için ağ trafiğini izler. Saldırıları engellemek için ise “Saldırı Önleme Sistemleri” olarak çevrilen IPS kullanılır. IPS, ağ trafiğini inceleyerek saldırıları tespit ettiği gibi aynı zamanda bunları engellemeye çalışır. IDS, saldırıları tespit eder, durumu raporlar ve bir alarm oluştururken; IPS, bu işlevlere ek olarak saldırıları engellemeye çalışır.
Günümüzde güvenlik duvarları, IDS/IPS mekanizmalarını entegre olarak içermelerinin yanı sıra ayrı olarak da kurulabilirler (Karaarslan, E., Akın, G., & Demir, H. 2008). İyi yapılandırılmış bir IDS/IPS sistemi, ağı birçok kötü yazılımdan izole edebilir ve sorunun kaynağını daha hızlı tespit etmeye yardımcı olabilir. Ancak bu sistemlerin iyi bir şekilde yapılandırılması ve sürekli olarak takip edilmemesi, yanlış tespitlere neden olarak sorunlara yol açabilir.
IPS (Intrusion Prevention System) Nasıl Çalışır?
IPS, genellikle güvenlik duvarının arkasında yer alan bir sistemdir. Kötü niyetli aktiviteler tespit edildiğinde, bağlantıyı sıfırlama, yöneticilere uyarı gönderme ve kaynak adresten gelen trafiği engelleme gibi otomatik eylemleri gerçekleştirir.
Ayrıca, tehditleri belirlemek için çeşitli yöntemler kullanılır:
İmza Tabanlı: Bu yaklaşım, tespit edilen tehditleri anti-virüs programları gibi imzalarla tanımlamayı içerir. Bilinen ağ tehditlerinin tekrar bir sorun oluşturmasını engellemek için kullanılır.
Anomali Tabanlı: İmza tabanlı izleme yöntemine göre daha güvenilir olan anomali tabanlı yöntemde, ağ üzerindeki aktiviteler temel standartlarla karşılaştırılır. Yapay zekâ ve makine öğrenimi, bu yöntemi desteklemek için kullanılır.
İlke Tabanlı: Bu yöntem, imza tabanlı veya anomali tabanlı yöntemlere göre daha az yaygındır. Kuruluş tarafından belirlenen güvenlik ilkelerini ihlal eden ve şüpheli durumlar oluşturan faaliyetleri engeller. Bu amaçla, güvenlik ilkeleri önceden tanımlanıp yapılandırılmalıdır.
DLP Nedir?
Güvenlik duvarları (firewall), saldırı tespit sistemleri , saldırı önleme sistemleri ve sanal özel ağlar gibi geleneksel sistemlerin veri sızıntılarını tespit etme ve önleme konusunda yetersiz kaldığı gözlemlenmiştir (Alneyadi vd., 2016). Bu sorunun üstesinden gelmek için veri sızıntısı tespitini ve önlenmesini hedefleyen yeni bir sistem gerekmektedir. Bu noktada, veri sızıntısı önleme çözümleri devreye girmektedir. DLP (Data Loss Prevention) sistemleri, 2006 yılında ilk kez geliştirilmeye başlanmış olup henüz yeni bir sistem olarak kabul edilmektedir. Shabtai ve arkadaşları (Shabtai vd., 2012), DLP çözümünü “yetkisiz erişimi, kullanımı veya iletimini önlemek amacıyla tasarlanmış gizli bilgi sistemleri” olarak tanımlamışlardır. Başka bir çalışmada (Mogull ve Securosis, 2007), DLP çözümleri, beklemede, kullanımda veya hareket halindeki verileri derin içerik analiziyle tanımlayan, izleyen ve koruyan merkezi politikalara dayalı ürünler olarak tanımlanmaktadır. DLP çözümleri, hem yetkisiz bir kullanıcının gizli verilere erişimini tespit etmede ve engellemede, hem de gizli verilerin yanlışlıkla paylaşılmasını önlemede kullanılmaktadır (Tahboub ve Saleh, 2014).
DLP Neden Önemlidir?
Teknolojinin ilerlemesiyle birlikte veriye erişim daha kolay hale gelmiştir. Ancak bu durum veri güvenliği sorununu da artırmıştır. Yetkisiz erişimi engelleme, verinin depolanması, sınıflandırılması, erişim yetkilerinin belirlenmesi ve istenmeyen durumlara karşı korunması gibi konularda birçok çalışma yürütülmektedir. Veri kaybı önleme (DLP) teknolojisi, istenmeyen veri çıkışını engelleyerek veri güvenliğini sağlamaktadır.
DLP yazılımı, şirketlerin önemli verilerini güvenli bir şekilde depolanmasına olanak tanır. DLP yazılımı, olay yanıtı ve adli analiz gibi konularda raporlar üreterek bilgi güvenliğini sağlar. Bu nedenle, bilgi güvenliğini sağlamak için DLP yazılımının mutlaka kullanılması gereken bir sistemdir.
DLP Sisteminin Amaçları Nelerdir?
DLP tekniklerinin birleştirilmesiyle oluşturulan güvenlik stratejisinin amacı, kurum verilerinde gerçekleştirilen işlemleri kimin, nereye ve nasıl gönderdiğini inceleyerek kayıt altına almak ve şirket içinden kaynaklanabilecek zararları önlemektir. Bu strateji, aynı zamanda veri kullanıcılarını daha dikkatli davranmaya teşvik etmektedir. DLP yazılımı sayesinde kişisel bilgi güvenliği, telif hakları, sınai mülkiyet hakları ve veri görünürlüğü gibi konular güvence altına alınır.
Veri sızıntısı tespitine yönelik yaklaşımlar kurum dışına çıkarılmaması gereken hassas verilerin korunmasına yönelik bir takım tespit ve önleme teknikleri kullanırlar. Bu tanıma göre S. Alneyadi ve ark. (Alneyadi, Sithirasenan, & Muthukkumarasamy, 2016) yazdıkları inceleme yazısında, veri sızıntısı önleme sistemlerini geleneksel yöntemlerden ayıran üç temel özelliği olduğundan bahsetmişlerdir. Bu özellikler;
- DLP sistemleri hassas veya gizli verilerin ve bunları çevreleyen kaynağın içeriğini analiz edebilmektedir,
- DLP sistemleri hareket halinde, kullanımda veya durağan durumda olan gizli veriler için koruma sağlayabilir,
- DLP sistemleri bildirme, denetleme, engelleme, Ģifreleme gibi birtakım eylemler yoluyla gizli veriyi koruyabilmektir.
DLP teknolojisi, ağ içinde, depolama alanlarında ve son kullanıcı noktalarında veriyi korumayı amaçlar. Bu doğrultuda DLP, veriyi üç farklı şekilde ele alır:
- Hareket Halindeki Veri (Data in Motion): Ağ içinde sürekli olarak hareket eden veri türüdür.
- Durağan Haldeki Veri (Data at Rest): Veri tabanları, dosya sistemleri ve diğer özel depolama birimlerinde bulunan ve gerektiğinde sorgulanan ve kullanılan hassas veri türüdür. Bu veriler genellikle ilk aşamada korunması gereken verilerdir.
- Kullanım Halindeki Veri (Data in Use): Son kullanıcıların sürekli olarak kullandığı ve işlediği aktif veri türüdür. Bu veriler, hassas ve gizli verilerle ilişkilidir.
DLP teknolojisi, bu üç veri türünü koruyarak veri güvenliğini sağlar ve şirketin siber risklere karşı önlem almasını destekler.
FIM (Dosya Bütünlüğü İzleme) Nedir?
FIM (File Integrity Monitoring), işletim sistemi dosyaları, ikili yazılım uygulama dosyaları, ofis otomasyonu gibi dosyalar ve diğer hassas bilgi içerebilecek dosya türlerinin bütünlüğünü doğrulamaktan sorumlu bilgi güvenliği süreçleri veya kontrollerini ifade eder.
Amacı, kuruluşun dosya ve bilgi sistemlerinde yapılan değişiklikleri izlemek ve bu değişikliklerin doğruluğunu belirlemektir. FIM, değişiklikleri kimin, ne zaman ve nasıl gerçekleştirdiğini tespit eder. Bu olayları daha fazla analiz eder. Aynı zamanda herhangi bir düzeltme eyleminin yapılıp yapılmamasına karar verme için uyarılar üretir. Ve ayrıca değişiklik kontrol denetim sistemi olarak çalışır.
SIEM (Security Information and Event Management) Nedir?
SIEM (Güvenlik Bilgi ve Olay Yönetimi), bir ağdaki tüm yazılım ve donanım kaynaklarının aktif olduğunda ürettikleri log kayıtlarını toplamak, saklamak, okunabilir hale getirmek ve belli yasalara ve standartlara uygun bir şekilde raporlamak için kullanılan yazılım sistemleridir. Bu sistemler, belirli kurallar ve standartlar doğrultusunda dijital kayıtları toplar ve yönetir.
Penetrasyon (Sızma Testi) Nedir?
Penetrasyon testleri, bir kurumun bilişim altyapısına sızmak ve kontrolünü ele geçirmek için siber suçluların gerçek dünyada kullandığı yöntemlerin taklit edildiği bir süreçtir. Testi yapan güvenlik uzmanları, hackerlerin kullanabileceği tüm yöntemleri deneyerek ve gerçek bir saldırı senaryosunu uygulayarak sistemin zayıf noktalarını tespit eder ve bu noktaların düzeltilerek güvenliğin sağlanmasını amaçlar. Bu testlerde genellikle lisanslı veya açık kaynak kodlu araçlar kullanılır ve otomatize tarama araçları yanı sıra kuruma özel manuel testler de yapılır. Hedef, mümkün olduğunca tüm zafiyetlerin tespit edilip düzeltilmesidir.
Penetrasyon Testlerinin Amaçları
- Kurumun güvenlik politikaları ve kontrollerinin etkinliğini test etmek ve denetlemek.
- İç ve dış kaynaklardan derinlemesine zafiyet ve açıklık taraması yapmak.
- Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak güvenlik denetimlerinin maliyetini azaltmak.
- Bilinen zafiyetlere yönelik düzeltme işlemlerini sistematik bir şekilde uygulamak.
- Kurumun ağ ve sistemlerinde var olan risk ve tehditleri belirlemek.
- Ağ güvenlik cihazları (güvenlik duvarları, yönlendiriciler, web sunucuları vb.) etkinliğini değerlendirmek.
- Mevcut yazılım, donanım veya ağ altyapısının değişiklik veya sürüm yükseltme gerektirip gerektirmediğini belirlemek.
Cyber Physical System (Siber Fiziksel Sistemler)
Siber-fiziksel sistemler, bilgisayar tabanlı algoritmalar tarafından kontrol edilen veya izlenen fiziksel mekanizmaların entegre olduğu sistemlerdir. Bu sistemlerde fiziksel ve yazılım bileşenleri birbirine sıkı bir şekilde entegre olmuştur. Farklı mekânsal ve zamansal ölçeklerde çalışabilirler, çeşitli davranışsal modeller sergileyebilirler ve değişen bağlamlarda etkileşimde bulunabilirler. Siber-fiziksel sistem örnekleri arasında akıllı şebeke, otonom araç sistemleri, tıbbi izleme, endüstriyel kontrol sistemleri, robotik sistemler ve otomatik pilotlu havacılık projeleri bulunmaktadır.
Uygulama
Wireshark, bir ağ paket ve protokol analiz (sniffer) yazılımdır. Eski adıyla Ethereal olarak bilinir ve bir bilgisayar ağı üzerinde gelen ve giden tüm veri trafiğinin yakalanmasını sağlar. Ağ üzerinde akan trafiği incelemenize olanak sağladığı gibi gelen veya giden trafiğin içeriğinin gözlenmesini de sağlar. Trafik incelemeye yönelik olarak birçok özelliği de barındırmaktadır. Bu sayede Wireshark günümüzde kendi türünün en yaygın kullanılan ve en çok verimli ağ analiz araçlarından bir tanesi olarak bilinir.
Wireshark’ın Özellikleri
- Windows, OS X, Linux ve Unix platformlarda kullanılabilir.
- Açık kaynak kodlu ve GPL lisanslı bir uygulamadır.
- Gerçek zamanlı analiz, filtreleme ve aramaya avantajı sağlar.
- Ağ üzerinde gerçek zamanlı paket yakalar.
- Birçok çeşit ağ protokolünü destekler.
- TCPdump / WinDump uygulama paketlerini okuyabilir.
- Paketleri detaylı protokol bilgileri ile gösterir.
- Yakalan paketleri farklı formatlarda dışa aktarabilir.
- Grafik arayüzüne sahiptir.
Öncelikle Başlat menüsü üzerinden Wireshark kısayolunu yönetici modunda çalıştırıyoruz. Bu sayede tüm trafiği incelemek için Windows UAC üzerinden yetki almış olacaktır. Aksi takdirde trafiği analiz edemeyecek ve hata verecektir.
Wireshark ilk çalıştırıldığında güncelleme kontrolü yapar ve yeni bir sürüm tespit ederse sizi uyararak sürümü güncellemenizi isteyecektir. Bu adımı geçtikten sonra Wireshark uygulaması aşağıdaki gibi karşımıza gelir.
Bu arayüz içerisinde trafiğini incelemek istediğiniz ağ kartınızı seçtiğiniz zaman Wireshark paketleri size göstermeye başlayacaktır. Yukarıdaki filtre menüsüne filtrelemek istediğimiz trafik türünü yazarak gelen ve giden paketler arasında filtreleme yapabiliriz.
HTTP Trafiğini İncelemek
Filtreleme kutusuna “http” yazdığımızda yukarıda gördüğünüz gibi yalnızca http trafiği arayüz üzerinde akmaya başlayacaktır. Sütunlara göz atacak olursak, No kısmında paket numarası, Time kısmında zamanı, Source kısmında paketin kaynağını, Destination kısmında hedefi, Protocol kısmında protokol türünü, Length kısmında uzunluğunu, Info kısmında ise paket hakkında kısa bilgiyi göstermektedir. Bu filtrelemede http trafiğini inceleyebileceğimiz gibi http2 veya http3 olarak da filtreleme yapabilmekteyiz.
Bir IP Adresinden Gelen HTTP Trafiğini İncelemek
Trafik içerisinde kaynak ip adresine göre trafiği filtreleyebilirsiniz. Belirli bir ip adresini filtreleme kısmına ip.src==10.10.10.1 formatında yazarak filtrelemeyi gerçekleştirebiliriz.
Modemdeki Ağ Trafiğini İzlemek
Bu örnekte modemimizin adresi olan 10.10.10.1 adresinden gelen trafiği filtrelemek için ip.src== komutunu kullanıyoruz. Bu sayede kaynak ip adresi olan 10.10.10.1 için tüm trafiği görebilmekteyiz. Tüm trafik içerisinde yalnızca http trafiğini görebilmemiz için ip.src==10.10.10.1&&http komutunu kullanabiliriz. Bu sayede modemin trafiğini de izlemiş olacağız.
Bir IP Adresine Giden HTTP Trafiğini İncelemek
Yukarıda da görebileceğiniz gibi ip.dst ==10.10.10.104&&http kullanarak filtreleme yapıyoruz. Bu sayede bir ip adresine giden trafiği filtelemiş olacağız. Aynı zamanda &&http ile yalnızca bu ip adresine giden paketlerin http olanlarını görmüş oluyoruz. Biraz önce ip.src kullanırken bu sefer ip.dst kullanarak hedefi belirlemekteyiz. Yukarıdaki görselde de görülebileceği gibi Destination sütununda 10.10.10.104 ip adresini görmekteyiz.
Web Sunucusu HTTP Trafiğini İncelemek
Bir web sunucusuna giden trafiği de Wireshark kullanarak filtreleyebilir ve inceleyebiliriz. tcp.port == 80 komutu ile TCP trafiğinde 80 web portunu filtelemiş olacağız. Yukarıdaki grafikte görebileceğiniz gibi 80 portuna gelen ve giden tüm trafiği filtreliyoruz. Tek bir port yerine birden fazla portu da bu filtelemede görebiliriz. Tek bir port yerine birden fazla porta gelen ve giden trafikleri de görebiliriz. tcp.port == 80 || tcp.port == 443 komutu ile hem 80 hem de 443 portlarını listelemiş olacağız.
Yerel Ağ Trafiğini İncelemek
Bu filtreleme mantığı ile yalnızca yerel ağ trafiğini inceleyebilirsiniz. Bu sayede internetten gelen veya internete giden trafikler gözardı edilecektir. Yalnızca yerel ağımızda oluşan trafiği görerek inceleme yapabiliriz. Bu filtreleme için ip.src==10.10.10.1/24 and ip.dst==10.10.10.1/24 komutunu kullanabiliriz. İlk komutta IP kaynağı olarak yerel ağımızı /24 olarak kapsıyoruz. Sonrasında ve kullanarak hedef ağı belirtiyoruz. Yine hedef ağda /24 kullanarak tüm IP bloğunu vermekteyiz.
TCP Paketinin İçeriğini İncelemek
Bir TCP iletişiminin içeriğini incelemek için, Wireshark üzerindeki bir pakete sağ tıklayıp TCP akışını izle menüsünü seçmeniz yererli olacaktır. Bu sayede ileti dizisinin içeriği yeni bir pencere açılır. Bu, web trafiğini inceliyorsak HTTP üstbilgilerini ve işlem sırasında iletilen varsa düz metin kimlik bilgilerini de görebilirsiniz.
Sonuç
IDS (Sızma Tespit Sistemi): Ağ trafiğini izleyerek güvenlik açıklarını, potansiyel saldırıları ve şüpheli aktiviteleri tespit etmeye çalışan bir sistemdir.
IPS (Sızma Önleme Sistemi): IDS’nin özelliklerine ek olarak, tespit edilen saldırılara otomatik olarak müdahale eden bir sistemdir.
ACL (Erişim Kontrol Listesi): Bir ağ cihazı veya sunucunun kaynaklarına erişimi kontrol etmek için kullanılan bir mekanizmadır.
Firewall (Güvenlik Duvarı): Ağa gelen veya ağdan çıkan trafiği denetlemek ve güvenlik politikasına aykırı trafiği engellemek için kullanılan bir güvenlik sistemidir.
Bu sistemlerin hepsi ağ güvenliği için önemlidir, ancak farklı amaçlara hizmet ederler. IDS, saldırıları tespit etmek için izleme yapar. IPS, tespit edilen saldırılara otomatik olarak müdahale eder ve engeller. Kaynaklara erişimi kontrol etmek için ACL kullanılır. Firewall, ağ trafiğini denetler ve güvenlik politikasına aykırı trafiği engeller. İşletmeler, bu sistemleri bir arada kullanarak ağ güvenliğini daha etkin bir şekilde sağlayabilir.
Kaynakça
Parlak, A., & Balık, H. H. (2005). İnternet ve Türkiyede İnternetin Gelişimi. Bitirme Ödevi, Fırat Üniversitesi Mühendislik Fakültesi Elektrik-Elektronik Bölümü, Elazığ. URL: http://hasanbalik.com/projeler/bitirme/39.pdf
Karaarslan, E., Akın, G., & Demir, H. (2008). Kurumsal Ağlarda Zararlı Yazılımlarla Mücadele Yöntemleri.
Alneyadi, S., Sithirasenan, E., & Muthukkumarasamy, V. (2016). Veri sızıntısı önleme sistemleri üzerine bir araştırma. Ağ ve Bilgisayar Uygulamaları Dergisi, 62 , 137-152.
Shabtai, A., Kanonov, U., Elovici, Y., Glezer, C., & Weiss, Y. (2012). “Andromaly”: a behavioral malware detection framework for android devices. Journal of Intelligent Information Systems, 38(1), 161-190.
Moğol, R. (2008). Dlp içerik keşfi: Saklanan veri keşfi ve koruması için en iyi uygulamalar. ABD: Securosis, LLC .
Tahboub, R., & Saleh, Y. (2014, January). Data leakage/loss prevention systems (DLP). In 2014 World Congress on Computer Applications and Information Systems (WCCAIS) (pp. 1-6). IEEE.
Alneyadi, S., Sithirasenan, E., & Muthukkumarasamy, V. (2016). A survey on data leakage prevention systems. Journal of Network and Computer Applications, 62, 137-152.
Bu Makale https://smallseotools.com/tr/plagiarism-checker/ sitesinde 6.06.2023 tarihinde kontrol edilmiştir. Makale, benzerlik değeri ile kabul edilmiştir. Results Completed: 100% Plagiarism: %6 Unique: %94
Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.
Ben Furkan Güneş. 2003 Mart ayı doğumlu koç burcuyum. Başakşehir Çok Programlı Anadolu Lisesinden mezun olduktan sonra Marmara Üniversitesi Bilgisayar ve Öğretim Teknolojileri Öğretmenliği bölümünde 2. Sınıf olarak eğitimime devam etmekteyim. Giyim kuşamına ve sportif faaliyetlere özen gösteren, sağlıklı iletişim kurmaya ve gelişmeye açık biriyim. Eğitimimi tamamladıktan sonra yazılım alanında kendimi geliştireceğim çalışmalarda bulunmak istiyorum.