Cevapla
 
Konu Araçları
Eski 18-04-19, 20:24 #41
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Sistem Doğrulama
• %100 güvenlikten bahsedilemez, her zaman bir risk vardır
• Bilgi güvenliği yöneticileri ve uzmanları, riskleri anlamalı,
değerlendirmeli ve nasıl karşılamaları gerektiğini bilmelidir
• Sistemlerin sahip olmaları gereken güvenlik seviyeleri belirlenmeli,
düzenli aralıklarla denetimler ve risk değerlendirmeleri yapılmalı
• Kurumlar, çalıştıkları sektörlerine bağlı olarak, sistemlerinin güvenlik
seviyelerini taahhüt veya belgelemek durumunda olabilirler
– Sarbanes & Oxley
– Basel I-II
– Gramm-Leach-Bliley Act
– ISO27001
– Cobit
__________________
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:26 #42
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar


Erişim Denetimi
• Erişim denetimi kullanılarak, çalışanların ve diğer kişilerin yetkileri
oranında kaynaklara erişebilmesinin sağlanması ve yetkisiz
erişimlerin engellenmesi hedeflenmektedir.
• Teknik veya Fiziksel Erişim Denetim Yöntemleri
– Biyometrik Sistemler, Kullanıcı/Şifre Kullanımı, Merkezi
Doğrulama vb.
• Erişim Denetim Yöntemlerine Saldırılar
– Servis Engelleme, Kimlik Sahteciliği, Şifre Kırma
• Saldırı Tespit/Önleme Sistemleri
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:26 #43
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar


Erişim Denetimine Yönelik Tehditler
• Saldırılarda en çok hedef alınan sistemler erişim denetimi
sistemleridir.
• Şifre Saldırıları
– Sözlük Saldırıları
– Deneme/Yanılma Saldırıları
– Pasif Şifre Kırma Saldırıları
• Elektrik Sinyalleri Sızması
– TEMPEST
• Servis Engelleme Saldırıları
– Tekil Servis Engelleme Saldırıları
– Dağıtık Servis Engelleme Saldırıları
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:27 #44
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Erişim Denetim Tipleri
• Yönetimsel
– Şifre politikaları, işe alım / işe son verme süreçleri, kullanıcı
farkındalık eğitimleri vb.
• Teknik
– Çok faktörlü doğrulamalar, kriptolama, ağ izolasyonu, DMZ, antivirüs sistemi vb.
• Fiziksel
– Kamera sistemleri, kilitler, güvenlik görevlileri vb.
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:27 #45
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Kimliklendirme, Doğrulama, Yetkilendirme
• Kim Giriş İstiyor, Kimliği Doğrumu, Yetkileri Neler ?
• Kimliklendirme; kullanıcının sistemlerde bir kimliğe sahip olması
süreci
• Doğrulama; kullanıcı kimliğinin sistemlerdeki geçerliliğinin
doğrulanması süreci
• Yetkilendirme; kullanıcının geçerliliği doğrulanan kimliğinde sahip
olduğu yetkilerin kullanıcıya atanması süreci
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:27 #46
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Doğrulama
• Yöntemler
– Kullanıcı Adı / Şifre
– Tek Kullanımlık Şifre Cihazları
– Akıllı Kartlar
– Manyetik Kartlar
– Sertifikalar
– Biyometrik Sistemler
• Çok Faktörlü Doğrulama
– Bildiğiniz Şey (Şifre, Pin)
– Sahip Olduğunuz Şey (Sertifika, Akıllı Kart, OTP Cihazları)
– Olduğunuz Şey (Biyometrik Sistemler)
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:29 #47
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Doğrulama Yöntemleri
• Şifreler
– Düz Şifre, Şifre Karmaşıklığı, Şifre Politikaları
• Ardışık Sorularla Doğrulama
• Tek Seferlik Şifre Cihazları
– Senkron
– Asenkron
• Biyometrik Sistemler
– Parmak izi, El geometrisi, Avuç içi, İris, Retina, Ses, Klavye
Hareketi
– Kullanıcıların Kabulü, Yaş, Cinsiyet, Fiziksel Engeller
– Hata Türleri, Tip 1, Tip 2, CER
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:29 #48
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Merkezi Doğrulama
• Sorun : Çok sayıda kullanıcı, çok sayıda kullanıcı hesabı, birçok şifre,
çok sayıda sistem ve ağ servisi
• Merkezi doğrulama, tek bir sistemde kullanıcı kimliklerinin bulunması,
ağ ve sistem servislerinin doğrulamayı bu sistem üzerinden yapması
sürecidir.
• Kullanıcı sadece merkezi doğrulama sunucusuna giriş yapar, istekte
bulunduğu sistem ve ağ servisleri kullanıcının geçerliliğini merkezi
doğrulama sistemine sormaktadır.
• Kerberos, SESAME, Krypto Knight (IBM) ve NetSP, Thin Client
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:30 #49
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:30 #50
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Kerberos’un Zaafiyetleri
• Dağıtık bir yapı olmasından dolayı Devamlılık ve Erişilebilirlik sorunları
oluşabilmektedir.
• Zaman temelli bir servis olması, tüm doğrulamala ve bilet geçerliliklerinde
zaman kısıtı olmasından dolayı ağ üzerinde zaman senkronizasyonu oldukça
iyi yapılmalıdır.
• Bir saldırgan doğrudan Kerberos sunucusuna saldırarak, tüm servislere
erişim hakkı kazanabilir.
• Kerberos sunucusu “tek noktada hata” sebebidir, yedekleme veya kümeleme
gerekebilir.
• Ortadaki adam saldırılarından etkilenebilmektedir.
• Kullanılan DES algoritması kırılabilmektedir; ancak bu sorun 5. sürüm ile
ortadan kalkmıştır
• İstemcinin bağlanacağı sunucu/servis, istemcinin hakları hakkında bilgi
sahibi olmalıdır. Kerberos yetkilendirmeyi kapsamamaktadır.
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:31 #51
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Erişim Denetim Modelleri
• Merkezi Erişim Denetimi
Kullanıcı kimlikleri, hakları ve izinleri tek bir merkezden yönetilir.
Erişim kararlarını tek bir sistem verir
Servis sahibi hangi kullanıcıların erişebileceğine karar verir, merkezi yönetim içerik
sağlar.
RADIUS, TACACS, LDAP
• Dağıtık Erişim Denetimi
– Kullanıcı kimlikleri, hakları ve izinleri ağ üzerinde farklı yerleşimlerde bulunur.
– Kaynağa en yakın olan merciye yönetim devredilir. (Bölüm Yöneticisi gibi.)
– Çok sayıda alan ve güven ilişkisi yönetilebilir.
– Erişim istekleri merkezi olarak yönetilmez.
– Ağlar arası ilişkilerde, veritabanı yönetim sistemlerinde kullanılır.
– Hatalı standartlaşma veya güven ilişkisi beraberinde güvenlik açıkları getirir.
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:31 #52
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

RADIUS
• Remote Authentication and Dial-In User Service (1997)
RFC2058-2059
• Merkezi olarak Doğrulama (Authentication), Yetkilendirme
(Authorization) ve Hesap Yönetimi (Accounting) servislerini sunar.
• Tüm kullanıcı profilleri merkezi olarak tutulur ve UDP temelli
doğrulama servisi ile diğer sistemlere sunulur.
• Uzak Erişim (RAS) ve kablosuz ağlarda sıklıkla kullanılmaktadır.
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:34 #53
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:35 #54
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

LDAP
• Lightweight Directory Access Protocol (1993)
• Kullanıcı ve sistem profilleri merkezi olarak tutulur, LDAP protokolü
aracılığıyla diğer sunucu ve servislere sunulur.
• Merkezi doğrulama yapılabilmektedir.
• Dizin sistemleri tarafından desteklenmekte ve yaygın olarak
kullanılmaktadır.
– Distinguished Name (DN), Her girdinin tekil doğrulayıcısıdır.
cn=Fatih Ozavci, ou=Guvenlik, dc=gamasec, dc=net
• Kullanıcı bilgilerinin sorgulanması amaçlı sıkça kullanılmaktadır.
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:36 #55
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Veri Erişim Denetimi
Veri erişim denetimi
– verilere nasıl erişilebileceğini,
– kimlerin erişebileceğini,
– erişince neler yapabileceklerini
tanımlamaktadır.
– Mandatory Access Control (MAC)
– Discretionary Access Control (DAC)
– Role-Based Access Control (RBAC)
– Ruleset-Based Access Control (RSBAC)
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:36 #56
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

İletişim ve Ağ Güvenliği
• İletişim ve ağ altyapıları, birden fazla sistem veya ağın haberleşmesi
için hayati öneme sahiptir.
• İletişim Altyapısı Bileşenleri
– Temel Ağ Cihazları
– Ağ Protokolleri
– Ses İletişim Sistemleri
– Uzak Erişim Sistemleri
– Kriptolama
– Ağ Güvenlik Cihazları
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:36 #57
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Ağ Güvenliğine Yönelik Tehditler
• Servis Engelleme Saldırıları
– SYN Flood, Land, Teardrop, Smurf, PoD, DDOS
• Bilgi Elde Etme
– Sniffing, ARP/DNS Spoofing, Phishing, War Dialing/Driving, Virus
Worm/Spyware
• Zarar Verme, Veri Değişimi, Hırsızlık
– Veritabanı Saldırıları, Cep Telefonu Saldırıları, Kimlik Hırsızlığı,
Şifre Kırma, Yetki Yükseltimi, Para Değişim Saldırıları, Yazılım
Korsanlığı, Oturum Yakalama, Spam
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:37 #58
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:38 #59
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

Uzak Alan Ağı ve Bileşenler
• Bölgeler ve uzak mesafelerde yer alan yerel ağları birbine bağlar
• Paket Anahtarlama
– X.25 (Paket anahtarlama,Analog, Telefon Hatları, 56Kbps)
– Frame Relay (Sanal devre anahtarlama, PVC/SVC)
– ATM (Hücre anahtarlama, 53-Byte)
– VOIP (Paket anahtarlama, IP üzerinden ses)
• Devre Anahtarlama
– POTS (Analog, 9.6-56Kbps)
– ISDN (B(64K)/D(16K) Kanalları, BRI(128Kbps), PRI (1.544 M)
– T Taşıyıcıları (Kiralık Hatlar, T1 (24xDS0[64K]), T3 (672xDS0[K])
– xDSL (simetrik =IDSL, HDSL, SDSL, asimetrik = ADSL, VDSL)
– Kablo Modemler
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 18-04-19, 20:39 #60
RoyalCraw RoyalCraw çevrimdışı
Varsayılan C: Bilgi Güvenliği Temel Kavramlar

  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Cevapla

Bu konunun kısa yolunu aşağıdaki sitelere ekleyebilirsiniz

Konu Araçları

Gönderme Kuralları
Yeni konu açamazsınız
Cevap yazamazsınız
Dosya gönderemezsiniz
Mesajlarınızı düzenleyemezsiniz

BB code is Açık
Smiley Açık
[IMG] kodu Açık
HTML kodu Kapalı



Tüm saatler GMT +3. Şuan saat: 08:25
(Türkiye için artık GMT +3 seçilmelidir.)

 
5651 sayılı yasaya göre forumumuzdaki mesajlardan doğabilecek her türlü sorumluluk yazan kullanıcılara aittir. Şikayet Mailimiz. İçerik, Yer Sağlayıcı Bilgilerimiz. Reklam Mailimiz. Gizlilik Politikası. Tatil
Copyright © 2019