1. GİRİŞ
İki bilgisayarı birbirine bağlanırsa, basit bir ağ (network) elde edilir. Birkaç ağ birbirine bağlanırsa bu da WAN (Wide Area Network) adını alır. Dünyanın en büyük WAN’ı ise internettir. İnternet için ağların ağıdır diyebiliriz. Daha genel bir cümle kullanacak olursa internet dünyanın en büyük iletişim ağıdır. İnternet ile 110 ülkeden toplam 2.000.000’dan fazla bilgisayar ve 5000’den fazla ağ birbirine bağlanmaktadır.
İnternetin bu hızlı gelişimi iletişimi bir yönden kolay bir yönden de zor hale getirmektedir. İletişimin kolay olması istenildiği zaman bilgiye ulaşılma imkanın olmasıdır. Zorluk ise internet üzerinde dolaşan verilerin tehlike altında bulunmasından kaynaklanır. Bu durumda ise internet üzerinde açık bir şekilde dolaşan bilgilerin güvenlik altına alınması gerekmektedir.
Güvenlik ile ilgili çalışmalar çok yavaş bir tempo ile devam etmektedir. Diğer cephede (kötü amaçlı olanlar) çok büyük gelişme meydana gelirken, güvenlik konusunda ulaşılan nokta henüz arzulanan düzeye gelememiştir. Yine de internet üzerinde güvenliğin sağlanması için bir çok yol ve yöntem vardır. İnternette güvenlik internet aracılığı ile bir yerden bir yere akış içersindeki verilerin gideceği yere doğru, bozulmamış, başkaları tarafından ele geçirilmemiş ve silinmemiş bir halde ulaşmasıyla sağlanır. Verilerin istenilen yere bu şekilde ulaşması için izlenmesi ve alınması gereken önlemler vardır. Bu önlemler güvenli ağ katmansal bir yaklaşımla sağlanabilir. Bu da pek çok güvenlik konusunu dikkate almayı gerektirir. Bunun için de güvenlikte dikkate alınması gerekli noktalar sıralarsak;
v İşletim sistemi güvenliği,
v Ağ güvenliği,
v Firewalls (güvenlik duvarları),
v Programlanmış tehlikelere karşı koruyucu araçlar,
v Güvenlik politikası.
Nasıl bir zincirin gücü en zayıf halkası ile temsil edilir ise güvenliğin gücü de en zayıf noktası ile belirlenir.
Güvenlik politikası: Bir kurumda tam anlamı ile tanımlanmış ve dökümante edilmiş bir güvenlik politikası yok ise, bu politika her kademedeki kullanıcıya eğitim ile aktarılmamış ise, bu politikanın uygulanışı tarafsız bir kişi veya kurum tarafından kontrollerle denetlenmiyor ise, siz ne kadar ciddi önlem alırsanız alınız, en alt düzeyde görevlinin yapacağı basit bir hata güvenliği tümüyle tehlikeye atabilir.
Programlanmış tehlikeler ve firewalls: Dışarıdan gelecek virüs, trojan, solucanlae vb. saldırıları için güvenlik duvarlarına (firewalls) ek olarak daima yeni üreyen virüslere karşı güncelleştirilen virüs bekçileri kullanmak gerekir. Bugün iki saatte bir yeni bir virus üretildiği düşünülür ise, bu güncelleştirmenin ne kadar önemli olduğu ortaya çıkacaktır.
Ayrıca kurumlar için güvenlik duvarlarının ne kadar önemli ve yararlı olduğu pek çok kişi ve kurum tarafından bilinmesine karşın, yapılan anket çalışmaları kurumların halen % 50 sinin güvenlik duvarına sahip olmadığını göstermiştir.
Ağ ve sistem kuruluşu: Kullanım amaçlarına göre pek çok farklı ağ kuruluşu gerçekleştirmek olasıdır. Bu ağ kuruluşları gerçekleştirilirken kurumun kendisine en uygun olan ve güvenliği en iyi sağlayan ağ yapısını kullanması çok önemlidir.
İşletim sistemleri: Servis sağlayan işletim sistemleri, çok karmaşık ve çok esnek yapıya sahiptir. Çok servis ise çok daha fazla dışarıdan saldırıya açık kapı olasılığı demektir.
Örneğin UNIX ve Windows için halen daha pek çok saldırıya açık deliklerin bulunduğunu söylemek hatalı olmayacaktır. Bu nedenle işletim sistemlerinde internetle bağımlı servisler; FTP ve Telnet gibi uygulamalarda çok dikkatli olunması gerekmektedir. Bu durumda güvenlik duvarları kullanmak gerekli bir yöntemdir.
Bu özellikler internet güvenliğinin sağlanması için temel oluşturur. Bunların dışında bir çok güvenlik tedbirlerinin alınması da gerekmektedir. Kullanıcıların dikkatli ve ne yaptığını bilen bir kişi olması güvenliği tehdit eden unsurların gücünü olabildiğince azaltacaktır. İnternette güvenlik ilk önce kullanıcı tarafından sonrada sistemin bizlere sunduğu özelliklerden yararlanılarak sağlanabilir.
2. İŞLETİM SİSTEMİ GÜVENLİĞİ
2.1. İşletim Sistemi Nedir?
İşletim Sistemi (Operating System), sistemde bulunan çevre elemanları ile (Donanım=Hardware) yazılımlarınızın (Software) haberleşmesini sağlayan yapıdır. İşletim sistemi de bir çeşit yazılımdır, ve bu yazılım, daha düşük seviyeli erişimlerle donanımın kontrolünü, kaynakların kullanımını ve paylaşımını sağlar. Örnek olarak işletim sistemi, sisteme bağlı olan yazıcılara gönderilen dosyaların basımı, sistemin boş olan hafızasının kullanımı ve sisteme bağlı diğer birimlerin yönetimini sağlar. [1, 7]
2.2. İşletim Sistemlerinin Ortak Güvenlik Sorunları
Bir sistem açık olduğu ve erişilebildiği sürece tam olarak güvenli sayılmaz. Bu konuda atılabilecek en iyi adım, sistemin güvenliğini dışarıdan gelebilecek saldırılara karşı artırmak olacaktır. Bir ev kullanıcısı için sistem güvenliği nispeten önemli olmasa da, internet üzerinde yer alan üniversitelerin, kamu kurum ve kuruluşlarının gerekli önlemi almaları gereklidir.
Güvenlik bir bütün olarak ele alınmalıdır. Alt yapıyı sağlam tutmak için öncelikle temel sistem güvenliğine özen gösterilmelidir. Bunun içine ağ ve kablo güvenliği yerleştirilebilir. Ardından makinelerin işletim sistemi güvenliği gelmelidir. Tüm ağ ortamlarında geçerli olan güvenlik tedbirleri şu şekilde sıralanabilir:
1- Ağ kabloları yere sabitlenmeli veya özel koruyucu plastik/alüminyum bir borunun içinden geçirilmelidir. Lineer ve Halka bağlantılarda tek bir kablonun kopması, tüm ağın kullanılamaz duruma gelmesine sebep olacaktır.
2- Mutlaka sistem günlük yedeklenmelidir. Meydana gelebilecek her türlü sorunun telafisi olmayacak sonuçlar çıkarabileceği unutulmamalıdır.
3- Sistemde elektrik kesilmesi sonucu henüz kaydedilmemiş dosyalar kaybedilebilir, bilgi okunurken/yazılırken elektrik kesilmesi sonucu sabit diskler hasar görebilir. Bu sorunları önlemek için mutlaka bir kesintisiz güç kaynağı (UPS) kullanılmalıdır
4- Bir sistemin sağlam güvenilir olması sadece sistem yöneticisine bağlı değildir. Bir çok hacker (sisteme yasal olmayan yollardan girebilen kişiler) ve cracker (sisteme yasal olmayan yollardan giren ve zarar veren kişiler) sadece kullanıcıların bilgisizliğinde yararlanarak çok kolay bir şekilde sistemdeki değerli bilgilere ulaşabilirler. Bunu önlemenin yolu da kullanıcıları eğitmekten veya parola yaşlandırma ve sadece belli bir kalıba göre üretilen şifrelerin kullanılabilmesine izin vermekten geçer. [4, 6]
Şu an günümüzde güvenlik ve kullanıldığı alanların yaygınlığı bakımından dört işletim sisteminin yapısı ve güvenliği hakkında bilgi verilecektir.
2.3. İşletim Sistemleri ve Güvenlik
2.3.1. Unix
Unix işletim sisteminin kendine özgü bir mimarisi bulunmaktadır. C programlama dilinde hazırlanan çekirdeği yaklaşık 10.000 satırdan oluşur. 1000 satırdan oluşan assembly kısmı da vardır. Assembly kısmının 200 satırı verimliliği arttırmak, 800 satırı ise donanım işlevlerini yerine getirmek için kullanılmaktadır.
Unix işletim sistemi üç ana bölümden oluşmaktadır. Bunlar:
1- Çekirdek ( kernel )
2- Kabuk ( shell )
3- Programlar şeklindedir.
Çekirdek : Çekirdek bilgisayara erişimi denetler, bilgisayarın belleğini yönetir, dosya sisteminin bakımını yapar ve kullanıcılar arasında bilgisayar kaynaklarının bölümünü sağlar.
Kabuk: Kullanıcı ile işletim sistemi arasındaki bağlantıyı kurar. Kabuk bir komut yorumlayıcısı olarak da tanımlanabilir. Verilen komutları okur yorumlar ve diğer programları çalıştırarak kütüklere erişilebilecek veya çıktı sağlayabilecek biçime dönüştürür. [1, 9]
2.3.1.1. Unix işletim sisteminin özellikleri
v Dosyalar: sıradan dosyalar, dizinler ve özel dosyalar şeklindedir. Sıradan dosyalar basitçe bir karakter dizisi olarak görülebilir. Herhangi bir bilgiyi daha sonra kullanmak üzere saklamak amacıyla kullanılır. İki veya daha fazla program aynı dosyayı okuyup yazabilir.
v Kullanıcılar: Sistem yöneticisi( superuser ) ve normal kullanıcılar olmak üzere iki sınıfta değerlendirilir. Sitem yöneticisi kullanıcıların sisteme giriş haklarını belirler. Sistem kontrolü yöneticinin denetimindedir. Unix kullanıcıları da iki sınıfta değerlendirir; birinci sınıf kullanıcılar paket programları kullanırlar. Sistem hakkında birşey bilmeleri gerekmemektedir. İkinci tip kullanıcılar ise programları hazırlayan sistem geliştiricilerdir.
v Taşınabilirlik: Unix kaynak kodları serbestçe dağıtılabilir.
v 4 GB RAM adresleme yapabilir.
v Çok Görevlililik: Birden fazla kullanıcıyı destekler.
v Çok Kullanıcı Tanımları: Unix terminal- host olarak çok kullanıcı yeteneklerini sağlar. Çeşitli kullanıcılar dump (aptal) terminallerden login olarak Unix bilgisayarına bağlanırlar.
v 16 bit Windows uygulamalarını destekler.
v Uzun kütük isimlerini destekler. [1, 6]
2.3.1.2. Unix güvenlik türleri
Özel olma: Sahip olunan bilgilere yetkisiz kişilerin erişiminin engellenmesi
Veri bütünlüğü: Bilgilerin, programların vb. verilerin izinsiz olarak silinip, değiştirilmemesi
Kullanılabilirlik: İzin dahilinde verilerin kullanılabilmesidir. İzinsiz olarak accountun silinmesi buna örnek verilebilir.
Tutarlılık: Sistemin önceki şekliyle çalışması. Örneğin bir hata karşılığında sistem bir hata mesajı veriyorsa, başka bir zamanda aynı hataya karşı da aynı hata mesajını vermesidir.
Yalıtma: Sisteme erişimin düzenlenmesi
İzleme: istenmeyen kullanımların kontrol altında tutulması.
2.3.1.3. Güvenilirlik
Unix güvenilirlik özellikleri şunlardır:
Yapısal istisnaların kullanımı: Geliştiricilere, nadiren ortaya çıkacak hataların düzeltilmesi konusunda yardımcı olacak bir mekanizma sağlar.
Korunmuş bellek: Her uygulama için bellekte bağımsız bir yer ayrılır. Böylece kullanılan uygulamalardan herhangi birisi çalışamaz duruma gelirse sistemin işleyişinde herhangi bir aksaklık ortaya çıkmaz.
2.3.1.4. Ağ güvenlik modellemesi
Merkezden yönetim: Örgütlenme içindeki kaynakları,kullanıcıları ve ağın tümünü bir kişi grup veya bölüm yönetir.
Dağıtılmış yönetim: Ağ bölüm ya da çalışma grubu düzeyinde yönetilir. Bir ağ üzerinde çeşitli bölüm ya da çalışma grubu düzeyi yönetici olduğunda, sistem politikaları ve yordamları bir çalışma grubundan diğerine değişmektedir.
Karışık yönetim: Merkezden ve dağıtılmış yönetimin özelliklerini taşır. Bölüm veya çalışma grubu düzeyindeki yöneticiler kullanıcıların günlük gereksinimleri ile ilgilenirken, merkezdeki yönetici (veya grup) sistem politikalarının kuruluş çapında uygulanmasını sağlar.
2.3.1.5. Ağ güvenlik türleri
Fiziksel güvenlik: Her bilgisayarın fiziksel olarak güvende olması gerekmektedir. Yetkisi olmayan kişilerin erişimini engellemek fiziksel güvenliği sağlayacaktır.
Kullanıcı güvenliği: Unix ‘te kullanıcı olarak tanım ve ait olunan bir grup vardır. Bu bilgi kullanıcıların yetkilerini ve networkle iletişimini düzenler. Kullanıcı güvenliğinin iki önemli yönü vardır.
v Kullanıcıların gerek duydukları kaynaklara erişimini kolaylaştırmak.
v Kullanıcıları yavaşlatan gereksiz kaynakları ise kullanıcılardan uzak tutmak.
Unix’te güvenlik düzeyi programlara ve komutlara göre sınırlandırılmıştır. Unix bu uygulama ile geliştiricilere avantaj sağlamaktadır. Ama kullanıcılar yetkilileri olmadığı halde bazı bilgilere ulaşabilmektedirler.
Dosya Güvenliği: Dosya güvenliği sağlamanın iki yönü vardır;
v Dosya erişimini denetlemek
v Dosya bütünlüğünü korumak
Unix’de kullanılan dosya sistemi ile, her dosya okuma yazma ve çalıştırılabilme konusunda kontrol altında tutulur. Dosyalar için okuma, yazma ve oluşturma hakları vermektedir. [6, 7, 9]
2.3.2. Linux
Linux işletim sistemiyle kişisel bir bilgisayar kullanıcısı; çoklu-ortam uygulamaları, veri tabanları, her tür ağ protokolünü içeren etkin bir ağ desteği, web sunucusu, DNS sunucusu, NFS sunucusu, SMTP (e-mail) sunucusu, news sunucusu, ve diğer TCP/IP servislerinin yanı sıra NOVELL, WINDOWS (3.1/95/NT) ve MacOS işletim sistemlerinin disk ve yazıcılarına erişmeyi sağlayan servisler vb. özelliklerden yararlanacaktır. [4, 6]
2.3.2.1. Linux işletim sisteminin özellikleri
Linux ücretsizdir. Ancak Linux herhangi bir ticari destek altında gelişmemektedir. Bundan dolayı diğer işletim sistemlerinde olan teknik destek, dağıtım ve dökümantasyon alanlarında eksikleri vardır.
Bir Linux makine bu sayede sadece işletim sistemi açısından değil donanım olarak da ucuza gelmektedir. Maliyeti olarak da Windows NT’den düşüktür Linux, çoğu durumda performans açısından NT ve diğer Unix türlerinden daha üstündür.
v GNU GPL lisansı altında serbestçe dağıtılabilmekte ve kopyalanabilmektedir.
v Çok kullanıcılılık (Multiuser): Lisans sorunu olmadan aynı makinede birden fazla kullanıcı çalışabilir.
v Çok görevlilik (Multitasking): Aynı anda birden fazla programın çalıştırılabilmesidir.
v Çekirdek, sürücüler, uygulama programları ve kullanıcı programları dahil tüm kaynak kodu erişilebilir haldedir.
v 4 TB'a kadar disk alanını, 4 GB'a kadar hafıza alanını destekler.
v Çok işlemcililik (Multiprocessor): Birden fazla işlemci desteği vardır. (16 işlemciye kadar).
v HFS (Macintosh) dosya sistemi desteği vardır.
v MSDOS, VFAT, FAT32 desteği vardır.
v WWW, FTP, NFS, DNS, NIS sunuculuk yapabilir.
v Macintosh, WfW, Windows NT, Windows 3.1/ 95/ 98 dosya ve yazıcı paylaşımı yapabilir.
v Hemen hemen tüm ağ protokollerini destekler (TCP, IPv4, IPv6, AX.25, X,25, IPX, AppleTalk, NetBUI, Netrom vb.).[4, 6]
2.3.2.2. Linux ağ güvenliği
Linux internet aracılığı ile gelen saldırı ve tehlikelere karşı kuvvetli ve birçok güvenlik birimlerine sahiptir. Bu Linux'un Intermet'le yoğun uğraşanlar arasında popüler olmasının en önemli sebebidir.
Linux kulanıcıları bu hatalara ışık tutar ve çabucak bir yama çıkartırlar. Bu yamalar diğer işletim sistemlerindeki kardeş programların yamalarından çok daha hızlı çıkarlar.
SSH (Secure Shell System): Makine bilgilerine bakarak bağlantıları reddetmek saldırılardan korunmak için iyi bir yöntemdir. Ağ bağlantıları sahte makine isimleriyle yapılabilmektedir. İnternet üzerinden programlar arası haberleşmede bilgi tehlikededir. Yeterli bilgiye sahip birisi bunlara bakabilir. Bu problemler internet protokollerinin karşılıklı haberleşmeleri sırasında gerçekleşir. Bu güçlüklerin üstesinden gelmek için ssh tasarlanmıştır.
SSH bağlantılarda kimlik kontrolü ve şifreleme yapan sağlam yapılı ve iyi geliştirilmiş bir sistemdir. Şifreleme, bilgi paketlerinin iletimi sırasında kodlar kullanır. Kimlik doğrulama (authentication) bağlantı ya da paket iletimi varsa kullanılan bir yöntemdir. [3]
Linux’ te güvenlik dosyaları kullanılarak sağlanabilir.
Güvenlik dosyaları: Linux’ te güvenlik, dosya sistemi ile sağlanır. Bu dosyalar /etc/securty, /etc/hosts.allow, /etc/hosts.deny dosyalarıdır.
/etc/securty: Sisteme root kullanıcı tarafından telnet protokolü ile girilme isteği halinde /etc/securty dosyası okunur. Bu dosya içinde yer alan tty'lardan sisteme girme isteği kabul edilir.
/etc/hosts.allow ve /etc/hosts.deny konfigürasyon dosyaları, başka bir makineden kendi makinenize olan bağlantıları denetler. Bu iki dosya tcpd programının konfigürasyon dosyalarıdır. tcpd programı, inetd tarafından /etc/inetd.conf dosyasında tanımlanan FTP, telnet, gopher gibi servislere cevap vermek amacıyla çağırılır.
Genel olarak tavsiye edilen ve sistem yöneticileri tarafından da sıkça kullanılan metot, /etc/hosts.deny dosyasından tüm servisleri kapatmak.[6]
2.3.3. Novell
En az 386 işlemci, 90MB kapasiteli bir hard disk, minimum 10MB ana belleğe ihtiyaç duyar. Netware, mevcut donanım ve yazılımdan maksimum yararlanarak farklı ortamlarda bilgisayar ağının kurulmasını ve kullanılmasını sağlar. C dili ile yazılmıştır. Bu özelliği ile Netware yazılımı taşınabilir (portable) bir programdır ve birçok işletimi sistemini destekler. Bunlar DOS, UNIX ve OS/2 işletim sistemleridir.
2.3.3.1. Açık protokol teknolojisi
Novell Netware işletim sisteminin açık protokol teknolojisi, ağ üzerinde çok sayıda iletişim protokolünün kullanımını sağlar. Bu olanak sayesinde Netware bilgisayar ağı, başka bilgisayar ağlarına da kolayca bağlanabilmektedir. OSI modeline uyum göstermesini sağlamaktadır.
2.3.3.2. NetWare’de sistem ve bilgi güvenliği
İki şekilde sağlanmaktadır.
1- SFT (System Fault Tolerance): Üç farklı seviyede veri güvenliğini sağlamaktadır.
Read After Write Verification yöntemi ile diske bir bilgi yazıldığında, bu bilgi tekrar okunmakta ve bellekte bulunan değer ile karşılaştırılmaktadır. Hot Fix Redirection (Dynamic Bad Block Remaping) yönteminde; Read after write’ den sonra bir bloğun bozuk olduğu anlaşılır ise, bu bloğa bozuk işareti konarak, bilgi daha güvenli (hot fix) bir alana yazılır. TTS (Transaction Tracking System) ise veri tabanı dosyalarında herhangi bir nedenle oluşabilecek bir hatayı önlemektedir.
2- SMS (Storage Management Services): SMS, işletim sisteminden ve uyarlamalardan bağımsız olarak yedekleme yapmak için hizmet verir.
2.3.3.3. NetWare’ de disk güvenliği
iki yöntem kullanılmaktadır. Bunlar:
1- Disk mirroring: Bu sistemde, veriler aynı özelliklere sahip iki ayrı diskte tutulmaktadır. Böylece birisinde oluşabilecek bozulmalara karşı diğer diskteki bilgiler kullanılmaktadır.
2- Disk duplexing: Bu sistem, kablo, sürücü denetleyicisi, adaptör ve sabit disk olmak üzere disk ile ilgili tüm donanımları çift tutmaktadır.
NetWare işletim sistemi bir kullanıcıya bir dizinde belli haklar tanıyarak o dizinin ve içerdiği dosyaların kullanımını ve güvenliğini sağlar. Bir dizindeki kullanıcının bu haklarına vekil hakları denir Bir kullanıcının haklarının düzenlenmesi çoğunlukla supervısor tarafından yapılır. Bu haklar okuma (read), yazma (write), açma (open) vb. haklardır.
Supervİsor, NetWare işletim sisteminin başta tanıdığı ve ağda bulunan en güçlü kullanıcıdır. Supervisor, öncelikli olarak bütün haklara sahiptir ve sistemi kontrol etmek ve düzenlemek üzere çalışır.
Netware 5 ağ güvenliği için üç farklı mekanizma sunar:
Secure Authentication Services (SAS): Doğrulama servislerinin sonraki kuşağıdır. Kullanıcının SAS doğrulamasına bağlı olarak dosyalara ve NDS nesnelerine kontrollü erişimle, sunucu tabanlı kullanıcı uygulamaları sunar.
Public Key Infrastructure Services (PKIS): Bir Netware 5 sisteminde genel anahtar şifrelemesinin ve sayısal sertifikaların kullanılabilmesini sağlayan bir grup servistir. Bu servisler, bir yöneticinin NDS içindeki alanda bir sertifika idaresi kurabilmesini sağlar.
Hesap Takibi (Audit): Bu sistem, her kullanıcının ağ kaynaklarına ve yaptığı değişiklikleri izleme ve kaydetme yeteneği sunar. [8]
2.3.4. Microsoft NT
v Çoklu ortam: İntel 386 ve üzeri işlemcileri destekler. Power PC gibi RISC (Reduced Instruction Set Computers) işlemcilerini destekler.
v Çok görevlilik ve çok işlemlilik: Çok görevlilik (multitasking), çok sayıda uygulamanın aynı anda çalışmasıdır.
v Güvenlik: Bir ağ yapısında güvenlik, o ağda bulunan bilgi kaynaklarının korunması ile sağlanır. Bellekte ve sabit diskte bulunan verilerin, belli kullanıcı hakları ve izinleri ile güvenliği sağlanır.
v Farklı uygulamaları destekleme: Microsoft Windows NT işletim sistemi, diğer işletim sistemleri için yazılan uygulama gruplarını destekler. Bu uygulamalar; Ms-Dos, Win 16, Win 32, OS/2, POSIX.
v Bütünleştirilmiş ağ olanağı: NT işletim sistemi, gerekli ağ sürücülerine network drivers ve protokollerine sahiptir. Bununla birlikte NT başka ağ yapılarını da desteklemektedir.
v Gelişen teknolojileri kullanabilme: Microsoft Windows NT işletim sistemi, günümüzde hızla gelişen donanım olanaklarını kullanabilme yönünden gelişmiş özelliklere sahiptir.
v Çoklu bağlanma olanakları: Windows NT İşletim Sistemi değişik bilgisayarlar arasında bağlantı sağlar. Bir çok protokolü destekler. Bunlar: TCP/IP, Netbeui, DLC, Apple Talk, Nwlink.
v İstemci desteği: Windows NT işletim sistemi iş istasyonlarını destekler. MS-DOS, Windows, Wfw, NT Workstation, OS/2, Novell Netware ve Macintosh (NT Server sadece).
v Dosya Sistemi : NT işletim sistemi, diğer işletim sistemlerinin yanısıra FAT, HPFS, NTFS ve CDFS dosya sistemlerini destekler.[1, 3]
2.3.4.1. Ağ güvenlik türleri
Fiziksel güvenlik: Her bilgisayarın fiziksel olarak güvende olması gerekmektedir. Ağ sunucularının konumuna karar vermek ve yetkisi olmayan kişilerin erişimini engellemek fiziksel güvenliği sağlayacaktır.
Kullanıcı güvenliği: Unix’te kullanıcı olarak tanım ve ait olunan bir grup vardır ( UID: User ID, GID:Grup ID ) Bu bilgi kullanıcıların yetkilerini ve networkle iletişimini düzenler.
Kullanıcı güvenliğinin iki önemli yönü vardır.
v Kullanıcıların gerek duydukları kaynaklara erişimini kolaylaştırmak.
v Kullanıcıları yavaşlatan gereksiz kaynakları ise kullanıcılardan uzak tutmak.
Unix’ te güvenlik düzeyi programlara ve komutlara göre sınırlandırılmıştır. Unix bu uygulama ile geliştiricilere avantaj sağlamaktadır. Ama kullanıcılar yetkilileri olmadığı halde bazı bilgilere ulaşabilmektedirler.
Dosya güvenliği: Dosya güvenliği sağlamanın iki yönü vardır; Dosya erişimini denetlemek, Dosya bütünlüğünü korumak
Hem veri hem de belge dosyaları yapılandırılmış biçimde veri içerir, ancak belge dosyaları genellikle insanlar tarafından okunabilirken, veri dosyaları bir program tarafından yorumlanmalıdır.
Windows NT Server hem klasör ve hem de dosya düzeyinde kullanıcı erişimini denetlemeye imkan sağlar. Böylece, bir klasöre tam erişimi olan biri, o klasördeki bir dosyaya erişemeyebilir veya bunun tam tersi olur. Ancak, bu sadece, NTFS dosya sistemi seçilmiş ise mümkün olabilir. Windows NTde izinler, herhangi bir dosyaya atanabilen özniteliklerin bileşimleridir. Kişisel dosya özniteliklerinden program dosyaları ve onları içeren klasörler hemen her zaman read (okuma) özniteliğine ayarlanmalıdır. Read erişimi, kullanıcıların kasıtlı veya kasıtsız olarak dosyaları silmesini yada virüs getirmesini önler.
Ayrıca, yetkilendirilmemiş erişim denemelerini önleyecek şekilde hassas ve gizli dosyaları denetlemek gerekir. [5]
2.3.4.2. Sisteme izinsiz girenlere karşı güvenlik
Sistemdeki tüm kullanıcıların iyi seçilmiş parolaları olması gerekir ve bu parolaların periyodik biçimde değiştirilmesi gerekir. Birinin bir parolayı yeniden kullanabilmesi için bir bekleme süresi elde edecek şekilde hesaplar ayarlanmalıdır. Hesaplar aynı zamanda girilecek yanlış parolalar sırasında kilitlenecek şekilde ayarlanmalıdır.
Ağların ve sunucuların fiziksel olarak güvenli olmaları gerekmektedir.
Yalnızca gereken en az sayıda dosya izni verilmelidir.
Kullanıcıların parolaları periyodik olarak değiştirilmeleri sağlanmalıdır.
Uzaktan kullanıcılar için ek bir güvenlik katmanı oluşturulmalıdır.
Merkezi yönetim modeli kullanılmalıdır. [1, 5]
3. İNTERNET BAĞLANTISI VE GÜVENLİK
3.1. TCP/IP Protokolü (Transmission Control Protocol/Internet Protocol)
TCP/IP'nin kökleri 1960'ların sonunda ve 1970'lerin başında İleri Araştırma Projeleri Ajansının (Advanced Research Projects Agency,ARPA) yürüttüğü paket anahtarlamalı ağ deneylerine kadar uzanır. TCP/IP'nin yaratılmasını sağlayan proje, ABD'deki bilgisayarların bir felaket anında da ayakta kalabilmesini, birbirleriyle iletişiminin devam etmesini amaçlıyordu. Bu nedenle ARPA geliştirdiği paket anahtarlamalı deneysel çalışmaları ilk olarak WAN (Wide Area Network)’lara uygulamaya başladı daha sonra geliştirilen bu sistemi LAN (Local Area Network) sistemlerine göre de adapte etmeye başladı. 1983 yıllarında ise TCP/IP protokolü artık bütün yerel ve genel ağlarla birlikte askeri çalışmalarında standardını teşkil etmektedir. [11-14]
TCP/IP Protokolü iki protokolü adreslemektedir.
Bunlar;
1- TCP(Transmission Control Protokol): Transfer kontrol protokolü anlamına da gelen bu protokol verinin paketler halinde nasıl birleştirildiğini tanımlayan, iletim denetim protokolüdür.
2- IP(İnternet Protocol): İnternet protokolü ise paketlerin, İnternet veya intranet'ler üzerindeki bilgisayarlar arasında yönlendirilme mekanizmasını tanımlar.
TCP/IP ile kurulan bir bilgisayar ağında bir bilgisayarı üç parametre ile tanımlarız.
v Bilgisayarın ismi
v IP adresi
v MAC adresi (Media Access Control : Ortama Erişim Adresi)
Bilgisayarın ismi kullanıcı tarafından işletim sistemi yüklenirken verilir.
IP adresi ise 192.168.0.23 örnekte olduğu gibi 4 bölümden oluşan bir adrestir. her bir bölüm 0-255 e kadar arta bilir.[13, 16]
MAC adresi ağ kartına yerleştirilmiş bir hardware adresdir. Bu adres bir entegrede kayıtlıdır. 0030AEF-8E891 örneğinde olduğu gibi onaltılı düzende (hexdecimal) rakamlardan oluşur.
3.1.2. TCP/IP’ nin yapısıŞekil 3.1. TCP/IP’ nin yapısı
3.1.2.1. Fiziksel katman
Fiziksel katman için herhangi bir protokol tanımlanmamıştır. Bu katmanda ağ bağlantı cihazları, ethernet ve benzeri ağ protokolleri, kablolama alt yapısı ve repeaterlar (tekrarlayıcı) gibi ağın fiziksel yönü ile ilgili araçlar bulunur.
Fiziksel katman ham bitleri bir haberleşme kanalı üzerinden iletmekle ilgilidir. Tasarımının amacı, bir uçtan 1 biti(bilgisi) gönderildiğinde karşı taraftan da 1 bilgisini alınmasını sağlamaktır. Fiziksel katmanda işlenip gönderilen verinin son durumu şekilde görülmektedir. [13, 15]Şekil 3.2. Fiziksel katmanda veri
3.1.2.2. Yönlendirme katmanı
IP protokolü:
TCP katmanına gelen bilgi segmentlere ayrılarak IP katmanına yollanır. IP katmanı, kendisine gelen bilgiyi ilgili IP adresine yollamak amacındadır. IP katmanının görevi bu segment için ulaşılmak istenen noktaya gidecek bir “yol” (route) bulmaktır. Arada geçilecek sistemler ve geçiş yollarının bu paketi doğru yere geçirmesi için kendi başlık bilgisini TCP katmanından gelen segment’e ekler. TCP katmanından gelen segmentlere IP başlığının eklenmesi ile oluşturulan IP paket birimlerine datagram adı verilir. IP başlık bilgisinin formatı şekilde gösterilmiştir.Şekil 3.3. IP başlığı içindeki alanlar
IP başlığı şu alanlardan oluşur.
Başlık uzunluğu: Datagram başlığının gerçek uzunluğunu gösterir. Başlık alanının kaç adet 32 bitlik sözcükten oluştuğunu gösterir.
Hizmet türü: Datagramın nasıl yönlendirileceğini belirler. Yönlendirmede yapılan yol seçiminde ve bağlantıda kullanılır.
Toplam uzunluk: Tüm IP paketinin uzunluğunu belirtir. Toplam uzunluk maximum 65535 bit olabilir.
Kimlik saptaması: Bu alan aynı kullanıcı mesajının farklı datagramlar içinde bulunması durumunu açıklayan kimlik bilgisi içerir.
Bayrak bitleri: Üç tane olan bayrak bitlerinden ilki (D biti) içinde bulunduğu datagramın kaç parçadan oluştuğunu belirtir. İkinci bayraksa, parçalanıp birçok datagram haline gönderilen verinin en son olduğunu belirtir. Üçüncüsü saklı tutulmuştur.
Fragment kayıklığı: 8 byte’ lık birimler halinde fragmentin datagram içindeki konumun gösterir.
Yaşam süresi (TTL): Datagramın ağ üzerinde dolaşma süresini belirler. Verici tarafında yerleştirilen dolaşma değeri her düğümden geçerken azaltılır. Sıfıra ulaşırsa kaybolmuş olduğu varsayılarak datagram ağdan çıkarılır.
Protokol: Bir datagramın hangi üst katman protokolüne ait olduğunu belirtir.
Kontrol toplamı: Datagram başlığında bir bozulma olup olmadığını belirlemeye yarar. Her yönlendiricide bu alandaki değer kullanılarak datagramın bozulup bozulmadığı araştırılır.
Kaynak IP adresi: Gönderen yerin gerçek internet adresi.
Alıcı IP adresi: Alıcı tarafın internet adresini oluşturur.
Veri: Gönderilen bilgi topluluğunu içerir.
TCP başlığı: Bir üst katmandan gelen veriyi içerir. [1, 11, 14-15]
ICMP protokolü: ICMP (Internet Control Message Protocol). ICMP, hata mesajları ve bir takım kontrol mesajları için kullanılır. ICMP ile kontrol mesajları gönderilerek karşılığında gitti gitmedi bilgisini sağlar. ICMP’ye en iyi örnek PING komutu verilebilir.
ARP Protokolü: Arp (Address Resolution Protocol) IP adresi belli olan bir bilgisayarın MAC adresini bulmak için kullanılan bir protokoldür. MAC adresi aynı zamanda bilgisayarın Ethernet adresidir. ARP IP protokolü değildir ve dolayısıyla ARP datagramları IP başlığına sahip değildir. [11, 15]
3.1.2.3. Taşıma (Ulaşım) katmanı
Ulaşım katmanın temel işlevi, hazırlanan veriyi alıp, ihtiyaç duyulduğunda küçük bileşenlere ayırıp ağ katmanına geçirerek, diğer uca bu parçaların doğru bir şekilde ulaştığına emin olmaktır. Normal şartlar altında, ulaşım katmanı, uygulama katmanı tarafından ihtiyaç duyulan her taşıma bağlantısı için bir sanal ağ bağlantısı oluşturur.
Ulaşım katmanı ayrıca uygulama katmanına sonuç olarak ağ kullanıcılarına ne tip servisler sunulacağına karar verir. [11, 14, 15]
TCP protokolü: TCP’nin temel işlevi, üst katmandan (uygulama katmanı) gelen bilginin segmentler haline dönüştürülmesi, iletişim ortamında kaybolan bilginin tekrar yollanması ve ayrı sıralar halinde gelebilen bilginin doğru sırada sıralanmasıdır. TCP protokolü verinin karşı tarafa güvenli ve bozulmamış bir şekilde ulaşmasının garantili bir şekilde ulaşması durumunda kullanılan bir protokoldür. TCP protokolünün yaptığı işleri üç madde halinde özetlemek gerekirse
1- Bir üst katmandan gelen verinin uygun uzunlukta parçalara (segmentlere) bölünmesi,
2- Herbir parçaya, alıcı kısımda aynı biçimde sıraya koyulabilmesi amacıyla sıra numarası verilmesi
3-
Kaybolan veya bozuk gelen parçaların tekrarlanması olarak verilebilir.Şekil 3.4. TCP başlığı içindeki alanlar
TCP protokolünün başlık bilgisinin en önemlileri port numarası ve sıra numarasıdır.
Başlık içinde kullanılan alanların amaçları aşağıda açıklanmıştır.
Kaynak kapısı: Gönderici tarafın TCP portu.
Alıcı port no: Gönderilen veri paketinin alıcı tarafın TCP portu.
Sıra numarası: Gönderilen paketin sıra numarasını gösterir. Gönderilmeden önce daha küçük parçalara ayrılan verinin, alıcı kısımda yeniden aynı sırada elde edilmesinde kullanılır.
Onay numarası: İstenilen bir sonraki paketin numarasını ifade eder..
Veri uzunluğu: TCP segmentinin uzunluğu.
Bayraklar: Burada segment içeriğine dair bilgi bulunmaktadır.
Pencere: TCP penceresinde kalan yeri gösterir.
Kontrol toplamı: Başlık kısmının bozulup bozulmadığını gösterir. Bu sayı segment içindeki tüm oktetler toplanarak hesaplanır ve sonuç başlığın içine konur.
Acil veri göstergesi: Acil veri alıcının uygulama katmanında öncelikle değerlendirilmesi gereken veridir.
Veri: Değerlendirilmesi istenen verinin bölüm içindeki yerini işaret eder.
UDP protokolü: UDP (User Datagram Protocol) protokolü yukarıda anlatılan TCP protokolünün tersi hem bağlantısız hemde güvensiz bir iletim sağlayan protokoldür. UDP kullanılarak bir veri iletilecek ise veri paketi hazırlanır, yollayan kısmına kendi adresimiz, alıcı kısmına hedef bilgisayarın adresi yazılır ve yollanır. Bu veri paketi yerine ulaştı mı, ulaşmadı mı, yolda başına bir şey mi geldi, bilinemez. UDP datagramların belirli sıralara konmasının gerekli olmadığı uygulamalarda kullanılmak üzere dizayn edilmiştir. Ağ yazılımı bu UDP başlığını iletilecek bilginin başına koyar. Ardından UDP bu bilgiyi IP katmanına yollar. Aşağıdaki şekilde UDP protokolünün formatı görünmektedir.
Şekil 3.5. UDP başlığı içindeki alanlarKaynak port: Gönderici tarafın kullandığı UDP portu
Hedef port: Karşı tarafın kullandığı UDP portu
Mesaj uzunluğu: UDP mesajının uzunluğu
Kontrol toplamı: Başlık kısmının bozulup bozulmadığını gösterir. [11, 12, 16]
3.1.2.4. Uygulama Katmanı
Uygulama katmanın işlevlerinden biri dosya transferidir. Değişik dosya sistemleri, değişik dosya isimlendirme tanımlamalarına, metin bilgisinin temsili için değişik metotlara sahiptir. Değişik dosya sistemlerinden dosya transferleri bu uyumsuzlukları ortadan kaldırmayı gerektirir. Bu iş, yine, elektronik posta, dizin taraması ve diğer özel ve genel amaçlı işlevlerde yapıldığı gibi uygulama katmanına aittir.
TCP/IP’nin kullanıldığı en önemli servislerden birisi elektronik postadır. E- posta servisi için bir uygulama protokolü belirlenmiştir (SMTP). Bu protokol e-mail’in bir bilgisayardan bir başka bilgisayara nasıl iletileceğini belirler. Yani e- postayı gönderen ve alan kişinin adreslerinin belirlenmesi, mektup içeriğinin hazırlanması vs. gibi. Ancak e-posta servisi bu mektubun bilgisayarlar arasında nasıl iletileceği ile ilgilenmez, iki bilgisayar arasında bir iletişimin olduğunu varsayarak mektubun yollanması görevini TCP ve IP katmanlarına bırakır. [1,11,15]
3.1.3. IP adresleme
IP adresi, herhangi bir bilgisayarı gösteren 32 bitlik bir numaradır. TCP/IP protokolünü kullanan bir bilgisayarın ağında her bilgisayarda bir IP adresi olmalıdır.
IP adresleri 32 bitten oluşur.
10000011 01101011 00000001 00001100 (ikili düzen)
131.107.1.12 (onluk düzen)
Bu ayrımların her birine oktet denir. Buna göre yukarıda ayrı dört oktet var.
IP adresleri sınıflara ayrılmıştır. A,B yada C sınıfı gibi toplam 5 sınıf vardır. bunlardan D,E özel sınıf adreslerdir. Bizim tarafımızdan kullanılamaz.
0-126 arası A sınıfı adresdir.
128-191 arası B sınıfı adresdir.
192-223 arasında olanlar ise C sınıfı adreslerdir.
Özel adresler:
127 ile başlayan adresler özeldir. Herhangi bir bilgisayara verilemez.Şekil 3.6. IP adres sınıfları
223'ün üstü D,E sınıfıdır onlardan bizim tarafımızdan verilemez. [1,11,13,15,16]
3.1.3.1. Subnet maskesi (Subnet mask)
Bir bilgisayar yalnızca kendisiyle aynı ağda bulunan bir bilgisayarla doğrudan bağlantıya geçer. Kendi ağımızda olmayan bir bilgisayarla da dolaylı iletişime geçebiliriz IP adreslerinin bir bölümü ağı, bir bölümü ise bilgisayarın o ağ içindeki adresini tanımlar.
Bir bilgisayar, IP adresinin hangi bölümünün ağı tanımladığını, hangi bölümünün ise bilgisayarı tanımladığını bilmek zorundadır. Bunun için subnet mask bilgisi kullanılır. Bilgisayarlar ağ tanımlayıcılarını bulmak için subnet maskesinin kullanımı şu şekildedir. IP adreslerini subnet maskeleri ile mantıksal bir işlemden geçirerek kullanırlar. Bu işlem VE (AND) işlemidir.
Ve işlemi 0 ve 1 değerini alabilecek iki değişken var. Bu değişkenlere X ve Y adları verildiğinde iki değer alabilecek iki değişkenle toplam dört ayrı kombinasyon elde edilir. Bu kombinasyonlar aşağıdaki gibidir.
Tablo 3.1. X ve Y değişkenlerinin durumu
Bu bilgilere dayanarak bir örnek yapılırsa.
Bir bilgisayarın IP adresi 195.134.67.200 olsun. Subnet maskesi 255.255.255.0 olsun. Bilgisayarımızın bu bilgilere dayanarak bulunduğu ağın tanımlayıcısını yani ağ adresini bulabilir. Bunu yapabilmek için IP adresi ile Subnet maskesini VE işlemine tabi tutar.
195.134.67.200 VE (AND) 255.255.255.0
Sonuç: 195.134.67.0
Bu sonucu nasıl elde ettik görmek için IP adresini de, Subnet maskesini de ikili düzende yazalım : (binary)
1100 0101.1000 0110.0100 0011.1100 1000 - IP
1111 1111.1111 1111.1111 1111.0000 0000 - Submask
VE (AND)
1100 0101.1000 0110.0100 0011.0000 0000 - sonuç
Sonuçta elde edilen gerçek ag maskesi 195.134.67.0 oluyor.
Buna göre 195.134.67.200 sub - 255.255.255.0 olan ve yine IP si 195.134.67.56 sub- 255.255.255.0 olan iki makina doğrudan iletişime geçebilir. Ama 195.134.40.200 sub - 255.255.255.0 olan bir makina aynı ağda değil demektir VE (AND) işlemi yaptığımızda ağ maskesinin aynı olmadığını görürüz.. Dolayısı ile doğrudan iletişime geçemezler demek Bilgisayar iletmek istediği bilgiyi router'e (yönlendirici) yollayacak, oda gelen paketteki adrese bakıp 195.34.40.200 nolu bilgisayara paketi iletecek. [11,15,16]
3.1.4. Alt ağlara ayırma (Subnetting)
Daha önce IP sınıflarını üçe ayırmıştık A,B ve C Çeşitli ihtiyaçlara göre kullanılabiliyordu. Ancak bir C sınıfının veya B sınıfının bir takım işler için çok büyük olması ve haddinden fazla IP numarası içermesi ağların bölünmesi ihtiyacını doğurmuştur.
Elimizde bütün bir ağ parçalamak için gerekli nedenler:
v Ağ trafiğini azaltmak, böylece ağdan daha verimli bir şekilde yararlanmak.
v Aynı ağ üzerinde kullanılamaya teknolojilerin kullanımını sağlamak.
v Daha kolay yönetim ve denetleme. Ağlar parçalanmaz ise görülen tek ağın yönetimi çok zorlaşabilir.
v İnternet servis sağlayıcıları tarafından parçalanan ağlar kiralık hat talebinde bulunan kişi ve kuruluşlara dağıtılır.
Alt ağlara ayırma işlemi verilen bir adres aralığını bölümlemek demektir. İnternete ulaşmak için yetkili bir kurumdan alınan adres diyelim ki, 195.27.12.0 gibi bir adres olsun. Bu adres C sınıfı bir adrestir. Kurum Ankara, Eskişehir ve Antalya gibi üç ayrı ilde bulunuyor olabilir. Bu durumda kurumumuzda üç ayrı ağ segmenti bulunacak ve bunlar yönlendiriciler (router) aracılığı ile birbirlerine bağlanacaklardır. Yönlendiriciler ile birbirine bağlanan ağların her biri ve yönlendiriciler arasında kalan her alan için bir ağ adresi tanımlanması gerekir yani toplam 5 adet. Bu nedenle IP adresinin son oktetinin yüksek değerlikli 3 biti bunun için ayrılmalıdır.
Tablo 3.2. IP adresinin son oktedinin ilk üç biti
Decimal | Binary |
1 | 001 |
2 | 010 |
3 | 011 |
4 | 100 |
5 | 101 |
C sınıfı ağımız ikili sistemde: 11000011.00011011.00001100.00000000 şeklinde gösterilir. Bu IP adresinin sadece son okteti ile oynama yaparak alt ağları oluşturulur.
1.Alt ağ: 11000011.00011011.00001100.00100000 :195.27.12.32
2.Alt ağ: 11000011.00011011.00001100.01000000 :195.27.12.64
3.Alt ağ: 11000011.00011011.00001100.01100000 :195.27.12.96
4.Alt ağ: 11000011.00011011.00001100.10000000 :195.27.12.128 (routerlar arası)
5.Alt ağ: 11000011.00011011.00001100.10100000 :195.27.12.160 (routerlar arası)Şekil 3.7. Yönlendiriciler ile ağ konfigürasyonu
Bu dağılımı yaptıktan sonra her ildeki ağ adreslerimin son oktetinin geriye kalan 5 bitini de ağ içindeki bilgisayarları tanımlamak için kullanılır. Kuralımıza göre 25-2= 30 olarak bulunur ve bir ağımızda 30 adet bilgisayar tanımlayabiliriz. Toplam 6 adet ağ tanımlayabiliyorduk. Buna göre 6*30=180 adet bilgisayarı bu ağ için tanımlamamız mümkün.[11, 12, 15]
3.1.4.1. Alt ağ maskesi (Subnet maskesi)
Alt ağ maskesi bir bilgisayar ağında ağı gösteren bitlere 1, sistemleri gösteren bitlere ise 0 koyularak bulunur. Yukarıda verdiğimiz örnekteki bilgisayar ağında bilgisayarların hem kendi aralarında hem de diğer illerdeki bilgisayarlar ile haberleşmesini sağlayacak bir alt ağ maskesi tanımlamak zorundayız. Bize verilen 255.255.255.0 adresinin ilk üç okteti ile oynayamıyoruz. Bu nedenle son oktet ile işlem yapmak zorundayız. Yukarıda son oktetin ilk üç bitini ağ bitleri için kullanmıştık, geriye kalan bitleri ise bilgisayarları tanımlamak için kullanmıştık. Bu nedenle alt ağ maskemiz ağ maskemiz olan 255.255.255.00000000 adresinin son oktetinin yüksek değerlikli ilk üç bitini 1’e set ederek 255.255.255.11100000 adresini elde ederiz, buda desimal olarak 255.255.255.224 adresine tekabül eder. [11, 15, 16]
3.2.5. TCP/IP'nin zayıflıkları
TCP/IP mükemmel bir protokol çözümü değildir. E-posta standardı güvenlikten yoksundur; ağ üzerindeki kullanıcıların diğer kullanıcıları bulabilmesine olanak sağlayan rehberlik(directory) servisleri göreceli olarak zayıf veya tümüyle eksiktir. Bu eksikliklerin giderilmesi için çeşitli çalışmalar yapılmış ve yapılmaktadır.
Mesajlar basit metin ve veri olduğu sürece TCP/IP kavramı oldukça etkin bir şekilde çalışmaktadır. Buna karşılık, ses ve video gibi gerçek zaman verileri halinde sorunlar çıkmaktadır. Nedeni ise, TCP/IP'nin patlamalı (bursty) modda çalışacak şekilde tasarımlanmış olması ve çokluortam içeriklerinin sürekli iletim gerektirmesidir. Eğer iletim sırasında paketler kaybolursa, TCP/IP protokolü bunları yeni baştan iletmektedir. Bu tür bir çalışma şekli, ses ve video sinyallerinin taşınmasında, hoş görülemeyecek gecikmeler yaratmaktadır. [1, 14]
Bu sorunlara çözüm getirmek ve internetin güvenilirliğini arttırmak üzere, internet 2 ve iyileştirilmiş internet protokolü olarak anılan IPv6 geliştirilmiştir.
3.1.6. İnternet 2 çözümü
İnternet 2, dünya üzerindeki 100 tane üniversite ve başlıca araştırma kuruluşlarının katılımıyla oluşturulmuş bir grup tarafından geliştirilmiştir. İnternet 2, daha yüksek hız ve güvenilirliğin olduğu yeni bir ulusal ağ olmayı hedeflemiştir.
İnternet 2 üzerinde, şimdiki İnternet ağına göre daha yüksek band genişliği sağlanacak ve aynı anda hem ses, hem video hem de verinin iletilebildiği, bir çoklu ortam ağı olarak tasarımlanacaktır.
İnternet 2'nin kampüs ve araştırma merkezlerini birbirine 1000 Mbps'e ulaşan hızlarda bağlaması beklenmektedir. Bağlantılar, mevcut İnternet omurgalarının üzerine kurulu olacaktır. İnternet 2 ile hedef, uçtan uca 100 Mbps'de veri değiş tokuşu sağlatabilmektir.
İnternet 2, IP multicasting, çok seviyeli servis ve band genişliği rezervasyonu gibi band genişliğinden tasarruf sağlayan yeni kavramları destekleyecektir. [14]
3.1.7. IPv6 protokolü
Yakın zamana kadar İnternet ve diğer TCP/IP ağları, e-posta, dosya aktarımı ve uzaktan erişim gibi göreceli olarak basit uygulamaları desteklemiştir. Günümüzde ise, Web üzerinde çoklu ortam açısından zengin uygulamalar kullanılmaya başlanmış olup, kuruluşlar daha karmaşık istemci/sunucu çalışmalarına yönelmişlerdir. İş hayatının değişen doğası, daha önceki IPv4 İnternet protokolünün etkin bir biçimde sağlayamadığı, gerçek zaman trafiğine, esnek tıkanma denetimi tekniklerine ve ayrıntılı güvenlik özelliklerine gereksinim duymaktadır.
IPv6 temelde İnternet adreslerini genişletebilmek için tasarımlanmıştır. Daha önceki adresler 32 Bit uzunlukta idi. Yeni protokol, 128 Bit adreslemeyi desteklemektedir. IPv4 adresleri iki tane noktada verimsizdir: Adreslerin boşu boşuna atanarak harcanması ve yönlendirme amacıyla gereksiz uzunlukta bitlerin ayrılmış olmasıdır.
IPv6 yeni bir özellik, TCP/IP'nin ağ katmanında güvenlik özellikleri sağlamak üzere, IPv6 başlık kısmına gelen ektir. IPv6 onaylama başlığı, yetki verilmemiş bilgisayarların belirli hedeflere trafik göndermesini önleyebilmektedir. Bu şekilde, İnternet üzerinden gelen bazı türden saldırılar önlenebilecektir.
IPv6 ile gelen ikinci bir güvenlik özelliği, duyarlı trafiğin(veri) başkalarınca elde edilmesini önlemek üzere kullanılan, kapsülleme (encapsulation) sağlayan güvenlik başlığıdır. Bu özellik sayesinde, IPv6 trafiği değiştokuş eden iki bilgisayar arasındaki trafik kriptolanır. Bu başlık da kriptolama algoritmasından bağımsız olup, standart kriptolama algoritmaları kullanılarak İnternet ve intranet'ler üzerinde güvenli trafik sağlanabilecektir. [14]
3.2. OSI (Open Systems Interconnect) Referans ModeliŞekil 3.8. OSI katmanları
1984 yılında OSI(Açık Sistem Bağlantıları) referans modeli ortaya çıkarılmıştır. Bu model sayesinde değişik bilgisayar firmalarının ürettikleri bilgisayarlar arasındaki iletişimi bir standarda oturtmak ve farklı standartlar arası uyumsuzluk sebebi ile ortaya çıkan iletişim sorununu ortadan kaldırmak hedeflenmiştir. OSI referans modelinde, iki bilgisayar sistemi arasında yapılacak olan iletişim problemini çözmek için 7 katmanlı bir ağ sistemi önerilmiştir. Bu 7 katmanın en altında yer alan iki katman yazılım ve donanım, üstteki beş katman ise genelde yazılım yolu ile çözülmüştür. OSI modeli, bir bilgisayarda çalışan uygulama programının, iletişim ortamı üzerinden başka bir bilgisayarda çalışan diğer bir uygulama programı ile olan iletişiminin tüm adımlarını tanımlar. En üst katmanda görüntü ya da yazı şeklinde yola çıkan bilgi, alt katmanlara indikçe makine diline dönüşür ve sonuç olarak 1 ve 0 lardan ibaret elektrik sinyalleri halini alır. Aşağıdaki şekilde OSI referans modeli katmanları ve bir yerel ağ üzerindeki durumu gösterilmektedir. [1,11,15,17]
3.2.1. OSI katmanlarının tanımlanan temel görevleri
7- Uygulama : Kullanıcıya en yakın olan katmandır. Spreadsheet, kelime işlemci, banka terminali programları vs. bu katmanın parçalarıdır.
6- Sunum : Bu katmanda gelen paketler bilgi haline dönüştürülür. Bilginin karakter set çevrimi veya değiştirilmesi, şifreleme vs. görevlerini bu katman üstlenir.
5- Oturum : İki bilgisayar üzerindeki uygulamaların birbirini farkettiği katmandır.
4- Taşıma : Bu katman gelen bilginin doğruluğunu kontrol eder. Bilginin taşınması esnasında oluşan hataları yakalar ve bunları düzeltmek için çalışır.
3- Ağ : Bağlantıyı sağlayan ve ulaşılmak istenen bilgisayara giden yolu bulan katmandır. Yönlendirme protokolleri bu katmanda çalışır.
2- Veri iletim : Bu katman fiziksel katmana ulaşım stratejisini belirler. Fiziksel adresleme, ağ topolojisi, akış kontrolü vs. bu katmanın görevlerindendir. Köprü cihazları bu katmanda çalışır.
1- Fiziksel : Bu katman ağın elektriksel ve mekanik karakteristiklerini belirler. Modülasyon teknikleri, çalışma voltajı, frekansı vs. bu katmanın temel özelliklerindendir. OSI referans modeli bir ağ uygulaması değildir. OSI sadece her katmanın görevini tüm detayları ile tanımlar. [14,17]
3.2.2. Bağlantı aygıtları
Bilgisayar ağı erişiminde genel olarak dört tip bağlantı aygıtı kullanılır: tekrarlayıcı (repeater), köprü (bridge), yönlendirici (router) ve geçityolu (gateway). Tekrarlayıcılar tamamen protokol bağımsız olarak fiziksel katmanda çalışır ve fiziksel genişleme amaçlı kullanılırlar. Geleneksel köprüler aynı protokolü kullanan Yerel Ağlar arasında temel veri düzeyinde bağlantı sağlar. [14,15,17]3.3. TCP/IP ve OSI standartlarının karşılaştırılması
Şekil 3.9. TCP/IP ve OSI standartlarının karşılaştırılması
TCP/IP, OSI'ın iyi bilinen yedi katmanlı referans ağ standardı ile karşılaştırıldığında, dört katmanlı bir mimari model üzerine kuruludur.
OSI'ın fiziksel ve veri link katmanları TCP/IP'nin fiziksel link katmanına karşı düşer. Bu katman, IEEE 802 ve X.25 arabağlaşım standartlarını içerir. TCP/IP'deki IP ve TCP katmanları yaklaşık olarak OSI'daki ağ ve ulaşım katmanlarına karşı düşer. Buna karşılık TCP/IP'deki dördüncü sunum(presentation) katmanı, OSI'daki oturum, sunum ve uygulama katmanlarının birleşik haline karşı düşer.
TCP/IP, fiziksel link katmanında iki önemli bileşeni içerir:
Adres çözümleme protokolü(ARP= Address Resolution Protocol)
Ters adres çözümleme protokolü(RARP= Reverse ARP)
Bunların işlevi, belirli LAN'lara IP adresleri ve belirli IP adreslerine LAN'lar karşı düşürmektir.
TCP/IP'nin IP katmanı, paket adresleme ve aktarma fonksiyonları sağlar. Bu katman, TCP ve fiziksel link katmanları arasında veri paketlerinin adreslenmesi ve aktarılmasını yerine getiren bir posta odasını andırır. IP katmanı diğer tüm IP sistemlerle bağlantı sağlamak durumunda olmadığı gibi, verinin yerine ulaştırılmasını da garanti etmez.
TCP ulaşım katmanı, isteği yapan port ile servisi sağlayan port arasında bir socket bağlantısı gerçekleştirir. Bu katman ayrıca şu işlevlerden sorumludur:
v Veri bütünlüğünün kontrolü
v Paketlerin sıralanması ve akış denetimi
v Paketlerin "tekrar iletim" isteklerinin yerine getirilmesi
v Üst uygulama katmanından gelen dışarıya doğru gönderilen verilerin uygun uzunlukta paketlere ayrılması
v Paketlerin IP katmanına aktarılması
v Dışardan içeriye gelen paketlerin ayrıştırılması(unpacking)
v Ayrıştırılmış paketlerin sunum katmanına aktarılması
Uygulama katmanı FTP, SNMP, Telnet, isteğe bağlı uygulamalar gibi standart uygulamaları içerir. Bu katman, OSI'ın oturum, sunum ve uygulama katmanlarına karşı düşer.[14, 17]
3.3. İnternet Bağlantı Araçları
3.3.1. Modemler
Modülatör ve demodülatör kelimelerinin birleşmesiyle oluşmuştur. Mo bilgi, dem ise işlem anlamına gelmektedir. Modülatör, çıkışta iki sayılı bilgileri modüle edilmiş işaretler haline dönüştürür. Bu işretler demodülatör tarafından alıcıya gönderilmeden önce ilk biçimlerine getirilir. Sonuçların ulaştırılması aynı ünitelerle yapılır.
Bilgisayarımızın başka bir bilgisayar veya ağ ile iletişim kurabilmesi için ya bir ağ adaptörüne veya çevirmeli bir ağ bağlantısı kurabilmek için modeme ihtiyacımız vardır. Uzak mesafeler de örneğin iki ayrı şehirdeki bilgisayarı birbirine bir ağ kablosuyla bağlayamayacağımızdan ya bir kiralık bir hat alınır ya da normal telefon hatları üzerinden veri aktarımını seçilebilir. Bu iş için en pahalı seçenek de budur. İşte bu şekilde bir bağlantı için gereken donanımlar modemlerdir. [19, 20]
Modemler bilgisayardan gelen dijital verileri, telefon hattı üzerinden iletilebilmesi için gereken analog sinyal şekillerine çevirir. Karşı taraftaki modem, bizim göndermiş olduğumuz bu sinyalleri tekrar eski dijital hale yani 0 ve 1’ e çevirir. Böylece bilgi alışverişi olur. Modemlerle iletişimde de bazı hatalar meydana gelebilmektedir.
İki bilgisayar arasındaki bağlantı sırasında oluşan bir hatanın nerede ve neden kaynaklandığını bulmak için üç aşamalı bir yol izlenir. Hata durumunda gönderici modem kendini test eder, hata kendinden kaynaklanmıyorsa karşı modeme kendisini test etmesini bildirir. Eğer hata her iki modemde de değilse kullanılan hattın testi yapılır.
Modemlerde veri iletişimi yarı-dublex yada tam dublex olmak üzere iki durum var. Yarı dublex bir veri iletişiminde, giden veriye karşılık gelen veri aktarımı olur. Tam dublex’te ise aynı anda hem gönderim hem alım işlemi yapılır. [20,21]
Modemler telefon hattı üzerinde 300 ile 3000hz arasında analog ses dalgaları iletir. Bu gerçek zamanlı bir konuşmadır. Modem bağlantısı seri portlar tarafından sağlanır. Seri porttaki bu veri iletişimi UART Chipi tarafından sağlanır. UART Chipi cinsine göre modemin hızı belirlenir. Örneğin modemimizin chipi 16550 ise yaklaşık hız 33600 civarındadır.
Veri iletişiminde Dijitalden Analoga ve Analogdan Dijitale geçiş işlemi DAC’e ADC tarafından yapılır. Veri aktarımında sesli veriler kullanılıyorsa işin içine DSP(Digital Signal Processor) girmektedir. Çünkü ses verileri daha yoğun ve geniş bir işlemdir. Dijital sinyal işlemci yani DSP modemin en önemli parçasıdır. Verinin iletişimine uygun hale gelmesini ve seslerin iletilebilmesini sağlar.[19, 20]
3.3.1.1. Modemlerin kullanım alanları
Bir modeme sahip olmak demek çok geniş bir bilgi dünyasının kapısında olmak demektir. Yapacağınız bağlantı nereye olursa olsun modeminiz size tek ve belirli bir bilgisayara bağlar internet ortamında bu servis sağlayıcısının serverıdır. Diğer yaygın bir kullanım alanı ise aynı şirket bünyesinde farklı noktalarda kullanılmasıdır.
3.3.1.2. İnternal ve external modem
Modemlerin iki çeşittir. internal (dahili) ve external (harici) modemler. internal modemler birer karttır ve bilgisayarın içindeki bir slota takılırlar. External modemler ise kasanın dışında bulunur ve seri çıkışların birinden ara kablo yardımıyla bilgisayara bağlanırlar. External modemlerin internal modemlerden farkı sadece kartın bilgisayar kasasının dışında bulunması ve bir kasa tarafından korunmasıdır.
3.3.1.3. Modemlerin hızı
Modemin hızı bps terimiyle belirtilir 33.600 bps gibi burada 33600 bps (bits per second ) saniyede iletilen bit miktarını belirtir. Yani modem 33600 adet oval transfer edebilmektedir. Hız için kullanılan bir başka terim ise bound terimidir, ve değişen sinyal durumunu açıklar. Modemlerde kullanılan bir başka hız terimi ise cps’dir. Caracters per second saniyede transfer edilen karakter sayısıdır.
Bir diğer hız ise bağlantı hızıdır. Bu hız ya modem ile bağlı olduğu bilgisayar arasındaki hızdır ya da modemin karşıdaki modeme bağlantı hızıdır. 115200 baud gibi bir hızla herkes mutlaka karşılaşmıştır. Ancak bugün kullandığımız analog hatlarda 33,600 bps (bits per second) hızın üzerine çıkmak mümkün değildir.
Fiziksel olarak modemlerin sağladığı maximum hız 33,600. Son zamanlarda 56.000 bps hızda olduğu söylenen birçok modem piyasaya sürüldü. Bu hız donanımla sağlana hız değildir. Burada bu hızın veri sıkıştırma yazılımları ile sağlanmaya çalışılmaktadır. [19, 20]
3.3.2. İnternet bağlantıları
İnternet bugün için gerek kullanıcı sayısı ve gerekse sağladığı olanaklar bakımından dünyanın en yaygın ve etkin bilgisayar ağıdır. Bu büyük bilgi kaynağına ulaşmak için, kurum ya da kişilerin internet bağlantısını sağlamak üzere ne yapmaları gerektiği, alt yapı olarak nelere ihtiyaçları olacağı ve hangi tür bağlantı kullanacaklarını bilmeleri gerekmektedir.
3.3.2.1. Bağlantı türleri
1- Kişisel veya tek kullanıcılı bir bilgisayar ile yapılacak bağlantı.
2- Bir yerel ağ ya da çok kullanıcılı bir bilgisayar ile yapılacak bağlantı
Bu bağlantı türleri kendi içlerinde de değişiklik göstermektedirler.
1- Kişisel veya tek kullanıcılı bir bilgisayar ile yapılacak bağlantı.
İnternete bağlanmak isteyen kişi veya kurumların kendi bünyelerinde kurulu bir bilgisayar ağları yoksa ve sadece tek kullanıcılı bir bilgisayar üzerinden internet bağlantısını yapmak istiyorlarsa bu durumda internet bağlantı hizmeti veren bir noktaya (Servis Sağlayıcı-SS) bağlanmak gerekmektedir. Bu durumda internet bağlantısının sağlanması için gerekli donanım sadece bir bilgisayar ve bir modemden ibarettir.
Fiziksel bağlantının sağlanabilmesi için iki yol mevcuttur.
v PTT Dial-up telefon hatları
v PTT X.25-ITI (Turpak-Intelligent Terminal Interface) servisi
Şekil 3.10. Dial-up telefon hattı ile bağlantıŞekil 3.11. X.25 ITI ile bağlantı
2- Bir yerel ağ ya da çok kullanıcılı bir bilgisayar ile yapılacak bağlantı
Bir yerel ağa ya da çok kullanıcılı bir sisteme sahip kuruluşların internet bağlantılarının sağlanması için de değişik bağlantı alternatifleri mevcuttur. Birden fazla kişinin aynı anda internet ağının imkanlarını kullanması durumunda bağlantı türünü seçerken bazı noktalar gözönünde bulundurulmalıdır.
v Bu bağlantıyı kaç kişi aynı anda kullanacak?
v Günde kaç saat bağlantı yapılacak ve hangi yoğunlukta kullanılacak?
v Hangi tür servisler kullanılacak?
v Kurum dışarıya elinde bulunan bir takım bilgi kaynaklarını açacak mı?
Çok yoğun bir kullanımda bulunacak bir kurumun X.25 yerine kiralık hat ile bağlanması daha uygun olurken, günde bir kaç kere bağlanıp sadece elektronik-posta okumak veya az sayıda internet olanağından yararlanmayı düşünen bir kurum için dial-up bağlantı en uygun bir yoldur. [15, 21]
Fiziksel Bağlantı Seçenekleri
1. Kiralık hat
İnternet trafiği çok yoğun olan ve çok sayıdaki kullanıcısına aynı anda interneti kullandırmak isteyen kurumlar için en uygun çözümdür. İnterneti kullanacak olan kurum ile internet servis merkezi arasında PTT’den uygun hızda bir hat kiralanır ve internet bu hat üzerinden kullanılır. Şekil 3.12. Ücretsiz yazılımlar ile gerçekleştirilen bağlantı
Bu tür bağlantıda kurum hem kendi tarafında ve hem de internet servis merkezinde kullanılmak üzere iki modeme sahip olmalıdır.
2- X.25 bağlantıŞekil 3.13. X.25 bağlantı
X.25 turu bağlantı daha önce de belirtildiği gibi yüksek trafik oluşturmayan, orta büyüklükteki kurumlar için oldukça uygundur. Maliyet yönünden kiralık hatlardan maliyeti yüksektir. Ayrıca uygun özelliklere sahip bir adet modem de gereklidir.
3- Dial-up bağlantı Şekil 3.14. Yönlendirici ile gerçekleştirilen bağlantı
Yerel ağın internet servis merkezinde merkezlerine olan uzaklığına ve kullanım yoğunluğuna göre dial-up telefon hatları ile de LAN bağlantısı sağlanabilir. Özellikle şehir içi LAN bağlantısı için çok uygun bir bağlantı alternatifi olan bu çözüm için internet servis merkezinde bir port, bir telefon hattı ve internet servis merkezinde ile kurumu birbirine bağlamak üzere iki adet modem gerekmektedir. [15, 21 ,22]
3.3.3. Bir ağ’daki bağlantı güvenliği
Yukarıda verilen bağlantı bilgileri dahilinde güvenlik bakımından iyi bir ağ içi ve ağ dışı bağlantının nasıl olabileceği konusunda bazı bağlantılar yapılabilir. Kullanım amaçlarına göre pek çok farklı ağ kuruluşu gerçekleştirmek olasıdır. Eğer kurumda herkesin kullanımına açık web sunucu ve intranet (kurum içi) web sunucuyu ayrı ayrı oluşturabiliyorsa, şekilde görüldüğü gibi web sunucu güvenlik duvarının dışına, intranet web sunucu güvenlik duvarının içine yerleştirilebilir.
Doğal olarak güvenlik duvarının korunması dışında kalan Şekil 3.15’deki web sunucu saldırılara açıktır ve çevrimiçi olanaklara uygun değildir.
Şekil 3.15. İki ayrı web sunuculu uygulama
Eğer intranetinize girilmesine izin verecek iseniz, Şekil 3.16’daki gibi bir ağ yapısı oluşturmanız uygun olacaktır. [23]Şekil 3.16. İntranet ulaşımına izin verilmesi durumundaki ağ yapısı önerisi
3.3.4. Bir ağ yapısında güvenlik tehlikeleri
3.3.4.1. Pasif dinleme
Ağ’a gizlice bağlanan bir PC veya Laptop, network üzerinde gidip, gelen data şekil paketlerini izleyebilir, isterse bu bilgileri gizlice diskine kaydederek daha sonra analiz edebilir. Aynı tehdit firma içinde çalışmakta olan masum görünen bir eleman tarafından da kolaylıkla yapılabilir. Pasif Dinlemenin amacı firma içinde yapılan yazışma, haberleşme, mesajlar ve login password’lerini kolayca elde etmektir. Pasif dinlemenin tesbiti imkansıza yakındır. Pasif dinleyici sadece dinlemekle, aradığı bilgileri elde etmekle uğraşır bunun
dışında mesaj gönderme gibi şansı yoktur.Şekil 3.17. Ağın dinlenmesi
3.3.4.2. Aktif dinlemeŞekil 3.18. Ağın dinlenip mesaj gönderimi
Aktif dinleme yapan bir PC ise sadece dinlemekle kalmaz, kendisi de sisteme mesajlar göndermeye başlar. Gönderilen mesajları öyle bir şekilde düzenler ki, sistemdeki diğer unsurlar bu makinayı legal bir makina gibi görürler. Bu sayede aktif dinleyici yanıltıcı mesajlar göndermeye başlayabilir. Örneğin sahte e-mail’ler, talimatlar, havale, EFT bilgileri, v.s. Eğer sistem telnet gibi bir protokol ile login yapılarak çalışıyorsa, önce hedeflediği kullanıcıların password’lerini elde eder. Daha sonra uygun bir zamanda bu kullanıcılar gibi login yaparak, istediği işlemleri yapabilir.
3.3.4.3. Araya girme yöntemi
Bu yöntemde saldırgan sistemdeki PC’lerden birisinin network bağlantısını keserek kendi sistemine bağlar, sistemindeki ikinci bir network bağlantısından ana networke bağlanır. Öncelikle hattı kesilen PC’nin gönderdiği ve aldığı tüm mesajları aynen yönlendirmeye başlar. Bu sayede PC kullanıcısı sistemle bağının koptuğunu hiçbir şekilde anlayamaz.
3.3.4.4. Ana bilgisayara sızma
Ağ’a bir şekilde bağlanan bir saldırgan belirli bir süre pasif olarak dinleme yaptıktan sonra sisteminin zayıflıklarını kolaylıkla anlayabilir. Örneğin Telnet, POP3, SMTP, FTP, v.s. gibi servislerin çalıştırılmaları son derece tehlikelidir. Saldırgan bu sistemlerin şifrelerini çok kolaylıkla elde edebilir ve kolayca ana bilgisayara bağlanır. Şifreler telnet bağlantısı yapan kullanıcıların network üzerinden yaptığı iletişim dinlenerek elde edilebilir . Bu bilgisayardan başka bilgisayarlara internet üzerinden saldırılar da başlatabilir. 3.3.4.5. Modem hatlarının dinlenmesi
Şekil 3.19. Modem hatlarının dinlenmesi
Telefon ve kiralık modem hatları asenkron veya senkron formatta Modem Line Tap denilen cihazlarla çok kolaylıkla fark edilmeden dinlenebilir ve tüm veriler kaydedilebilir. Bu metodla internet üzerinden gelen veri paketleri kontrol altında tutulabilir yani modem hattının dinlenmesi haberleşmenin gizli yapılamaması anlamına gelmektedir.
Bunlar ve benzeri güvenlik sorunları her zaman kurumların korkusu olmuştur. Bu nedenle network kullanan ve internete bağlı olması gereken kurumlar bilgi güvenliğini sağlamak için bir takım tedbirler almışlardır. Firewalls kurumların bu güvenlik açıklarını kapatmaya çalıştıkları bir yoldur. [24]
3.4. Firewall Sistemler
Şekil 3.20. Bir ağdaki firewall kullanımıFirewall (güvenlik duvarı veya ateş duvarı) tek bilgisayarda veya yerel ağda internetten veya diğer ağlardan erişimi kısıtlayıp bilgisayarı veya yerel ağı internetten veya diğer ağlardan gelecek saldırılara karşı koruyan bir sistemdir. Firewall İnternet ile yerel ağ arasında bulunur. Bu sayede İnternetten gelen ve internete giden paketlerin firewall ile kontrolü sağlanır. Bu sayede paketlerden istenilene izin verilip , istenilen engellenebilir.
Firewall, routers, servers ve değişik yazılımlar kullanılarak kurulan donanım ve yazılım kombinasyonlarıdır. [10, 24, 28, 29]
3.4.1. Donanımsal firewall
Aşağıdaki şekilde donanımsal olarak kullanılan bir firewall ile yerel ağ da nasıl kullanıldığı görülmektedir. Şekil 3.21. Donanımsal firewall
3.4.2. Bilgisayar yazılımı ile sağlanan firewall
Bu firewall örneğinde ise ağda internete açılmak için kullanılan bir bilgisayara bir firewall yazılımı yüklenerek internet üzerinden gelebilecek tehlikelere karşı bir önlem alınmak istenmiştir. [25]Şekil 3.22. Yazılım ile sağlanan firewall
3.4.3. Firewall işleyişi
İnternette güvenlik ile ilgili konular arasında adı sık sık geçen firewall kavramı esas olarak yazılım ile oluşturulup, internet üzerinden bir sisteme girişleri kısıtlayan/yasaklayan ve genellikle bir internet gateway (ağ geçidi) servisi olarak çalışan bir bilgisayar üzerinde bulunan güvenlik sistemine verilen genel addır. Firewall'un esas amacı ağa zarar vermek yada sızmak isteyenleri engellemektir. Şirketler ve veri merkezleri için firewall sıkça kullanılan bir güvenlik metodudur.Şekil 3.23. Bir yönlendirici ve bir uygulama geçidinden oluşan Firewall
Fırewall internet ağından yerel ağı korumanın çeşitli yollarından birisidir. Genel olarak iki türlü firewall yapısından bahsedilebilir. Bazı firewall tiplerinde veri akışının engellenmesi esas iken bazılarında da veri trafiğini düzenlemek ve sınırlamak önem kazanır. Firewall ile ağdan dışarıya erişim serbest iken dışarıdan ağa erişim kısıtlanır. Bazı firewallar sadece e-mail trafiğine izin verirken diğerleri farklı cinsden veri iletimine izin vermekle birlikte problem olabilecek servisleri (FTP, Telnet vb.) ve bazı iletişim türlerini bloke ederler. Bu tür seçimler ve erişim izinleri tamamen kullanıcıların tercihlerine göre belirlenir.
Firewall ile birlikte çeşitli kullanıcı erişimi denetleme ve yetkilendirme mekanizmalarının kullanılmasıda yerel ağın güvenliğini arttıran bir unsurdur. Firewall bu türden, kullanıcı şifre ve yetkilerinin tanımlanıp kullanılması ve bu bilgilerin ağlar arasındaki trafiğinin gizlenmesi konusunda ekstra özellikler sunar.
Çok çeşitli firewalls vardır ama birçoğunun bir iki ortak noktası bulunur.
3.4.3.1. Packet filtering
Packet filtering (Paket süzmede), bir paketleri filtreleme işlemi, yönlendirici (router) ara birimleri arasında geçen veri paketlerini süzmek için tasarlanmış bir yönlendirici kullanılarak yapılır. Paket filtreleme yönlendiricisi (Packet filtering router), aşağıdaki kriterlerin hepsine veya bazısına göre IP paketlerinin trafiğini süzebilir.
v Kaynak (source) IP adresleri
v Hedef (destination) IP adresleri
v Kaynak TCP/UDP portu
v Hedef TCP/UDP portu
Tüm paket filtreleme yönlendiricileri sadece kaynak TCP/UDP portlarını süzmekle kalmayıp, bazı yönlendiriciler, yönlendirici arabirimine bir veri paketi geldiğinde bu paketin nasıl kullanılacağını da incelerler. Bir ağ, güvenilmez olarak tanımladığı, ana makina veya ağlardan ya da belirli adreslerden bağlantı yapılmasını engellemek isteyeblir yada dışarıdan gelen tüm trafiği (e-mail, smtp vb. istisnalar dışında) bloke etmek isteyebilir.
Şekil 3.24. Telnet ve SMTP için paket filtreleme yapısıBununla birlikte paket filtreleme metodu herhangi bir veri içeriği kontrolu yapmadığından birtakım dezavantajlarada sahiptir. Rlogin komutu, Telnet vb. uygulamalarla birisinin bir bilgisayara bağlanmasına izin verir. Bu da tehlike arz eder. Çünkü kullanıcılar password yazmadan da bunu yapabilir. Ayrıca portların veri transferi aşamasındaki yönlendirilmeleri ve yönetimleri ile de ilgili bazı problemler olduğu bilinmektedir. [28, 29]
3.4.3.2. Proxy server
Proxy Server bazen uygulama geçidi (applıcatıon gateway) anlamında kullanılabilmektedir. Proxy server, firewall içindeki bir host’da görevini yapan bir server yazılımıdır. Proxy server, internet üzerindeki yerel bir ağ ya da internete bağlı bir bilgisayar ile, dış dünya arasındaki ilişkiyi sağlayan bir yardımcı geçit (gateway) sistemidir. Proxy'ler sık sık yönlendirici makinaların yerine, benzeri bir işlev ile ağlar arası trafiği kontrol etmek amacıyla kullanılır. Aynı zamanda bir çok proxy server, kullanıcı erişimleri için denetleme ve destek de sağlar.
Proxy server, sizin adınıza sizden aldığı internetten bilgi alma isteklerini yürütür ve sonucu yine size iletir. Ancak, aynı anda, bu bilgilerin bir kopyası da (cache), bu proxy sunucusu üzerinde tutulur ve bir sonraki erişimde kullanıcının istediği bilgiler doğrudan ilgili siteden değil de, proxy servisinden gelir; dolayısıyla, iletişim daha hızlı olur. İnternete erişim için mutlaka bir proxy servisine ihtiyaç yoktur, ancak kullanımı internet erişimini bir hayli hızlandırmaktadır. [25, 26, 29]
Proxy sever’in çalışması açıklanacak olursa;Şekil 3.25. Proxy server çalışması
1- Sistem yetkilileri, proxy serverları çok çeşitli servisler için kullanabilirler: FTP, web, ve Telnet gibi. Hangi internet servislerinin proxy serverdan geçeceğine sistem yetkilileri karar verir. Her değişik internet servisi için özel bir proxy server yazılımı gerekir.
2- Networkten bir bilgisayar internete bir istekte bulunduğunda bir web serverdan web page almak gibi o bilgisayara internetteki web servera direkt olarak bağlanmış gibi bakar. Ama aslında, internal bilgisayar bu istekle proxy servera bağlanır, o da internet servera. internet server sayfayı, daha sonraki anonim bilgisayara yollayacak olan proxy servera yollar.
3- Proxy serverlar networkteki bir bilgisayar ve internetteki bir server arasındaki istekleri yollayıp geri almaktan fazlasını yapabilir. Güvenlik tasarıları yürütebilirler. Örneğin bir FTP proxy server, internetten anonim networkteki bir bilgisayara dosya yollama izni vermek ama anonim networkten internete dosya yollamamak yada tam tersi için kurulmuş olabilir. [26, 28]
3.4.4. Firewall tipleri
3.4.4.1. Paket süzme (Packet filtering)
Packet filtering, küçük ve basit siteler ve ağlar için en yaygın ve en kolay metoddur. ancak bir çok dezavantajlarından dolayı diğer fırewall türlerine göre pek tercih edilmez. Basit olarak, bir internet ağ geçidinde (gateway), packet filtering yönlendiricisi (router) kurulur ve sonra , protokollar ve adresleri engellemek veya süzmek için yönlendiricide gerekli ayarlar yapılır. İnternetden sisteme erişim engellenilirken, sistemden internete
erişim genellikle serbest bırakılır. Bununla beraber yönlendirici (router) güvenlik planına bağlı olarak sistemler ve servislere kısıtlı erişimlere izin verebilir. Şekil 3.26. Packet filtering firewall yapısı
Packet Filtering Firewall için de yönlendiricilerde ki dezavantajlar geçerlidir. Yerel ve korunması gereken ağların güvenlik ihtiyaçları daha karmaşık olduğundan sorun dahada büyüktür. Packet filtering kuralları, bilinmeyen türden saldırılara karşı ağı test edebilme yeteneğine sahip değildir. [28]
3.4.4.2. Çift taraflı geçit (Dual-homed gateway)
Bu tür firewall, Paket Filtrelemeli Firewalla karşı iyi bir alternatifdir. İki network ara birimi ile IP iletişimi engellenen bir terminalden oluşur. Burada terminal artık veri paketlerini direk olarak iki ağ arasında iletemez. Ayrıca bu sistemde packet filtering yönlendiricisi internet bağlantısı üzerine, ek bir koruma sağlamak için yerleştirilebilir. Bu yönlendirici sayesinde bilgi sunucusu (information server) ve modem gibi sistemleri tanımlamak için kullanılabilen dahili ve perdelenmiş bir alt ağ yaratılır. Paket filtrelemeli fırewalldan farklı olarak, çift taraflı geçit mekanizması, internet ile ağ arasında IP trafiğini tamamen bloke eder. Servisler ve sistemlere erişim, bu geçitteki (gatewaydeki) proxy sunucusu tarafından sağlanır. Basit ve emniyetli bir firewall türüdür.Şekil 3.27. Yönlendirici ile desteklenmiş bir Dual-Homed firewall genel yapısı.
Çift taraflı geçit tipindeki fırewall, ağa gelen ve giden veriler ile bilgi sunucusunun trafiğini ayırma imkanı sağlar. Bilgi sunucusu, Şekil 3.27’de gösterildiği gibi geçit-gateway ile yönlendirici router arasında alt ağa yerleştirilir. FTP , gopher veya http gibi yönlendirici, firewall'a doğrudan erişimi önleyebilir ve erişimleri firewall’ın denetlemesine tabi tutar. Bilgi sunucusunun bu şekilde yerleştirilmesi, davetsiz misafirlerin bilgi sunucusuna erişimine imkan vermediğinden ve çift taraflı geçit mekanizması ile de ağ sistemlerine ulaşımın engellenmesinden dolayı daha emniyetli bir metoddur.
3.4.4.3. Perdelenmiş kullanıcı tipindeki firewall (Screened host firewall)
Çift taraflı geçit tipindeki firewalldan daha esnekdir. Ancak her zamanki gibi esneklik, güvenlik adına verilen bazı açıklar ile sağlanmıştır.
Perdelemeli firewall, yönlendiricinin korunmalı durumdaki alt ağ tarafına yerleştirilen uygulama geçidi ile paket filtrelemeli yönlendiriciyi birleştirir. Uygulama geçidi sadece bir network ara birimine ihtiyaç duyar. Uygulama geçitlerinin proxy servisleri ağ sistemindeki bazı proxyler için telnet ftp ve diğer veri paketlerini geçirebilir. Yönlendirici filtreleri ve perdelemeler, uygulama geçiti ve ağ sistemlerine ulaşımı kontrol ettiğinden dikkat edilmesi gereken protokollerdir ve uygulama trafiğini aşağıdaki şekilde yönlendirirler.
Yönlendirilmek üzere uygulama geçidine internet ağlarından gelen trafik kabul edilir ve internet ağlarından gelen diğer tüm trafik geri çevrilir.
Uygulama geçitiden gelmedikçe, yönlendirici içeriden gelen herhangi bir uygulama trafiğini reddeder. Şekil 3.28. Screened Host firewall yapısı
Çift taraflı geçit türü firewalldan farklı olarak, bu sistemdeki uygulama geçiti sadece bir network ara birimine ihtiyaç duyar ve uygulama geçiti ile yönlendirici arasında ayrı bir alt ağ (subnet) gerektirmez. Bu durum daha esnek ama daha emniyetsiz bir yapıdır.
3.4.4.4. Perdelenmiş alt ağ tipi firewall (Screened subnet firewall)
Perdelenmiş alt ağ tipi firewall , çift taraflı geçit ile perdelenmiş host tipi firewall’un birleşimidir.
3.4.4.5. Firewall ile modemin entegrasyonu:
Genellikle kulanılan bir çok ağda, ağdaki modemlere telefon hattından erişim mümkündür. Bu, potansiyel bir backdoor açığıdır ve firewall ile kurulan korumayı tamamen etkisiz duruma getirir. Böyle durumları önlemenin yolu modemlerin tümüne erişimi, tek bir güvenli ana modem girişinde toparlamaktır.
Bu durumda modem kullanıcıları önce terminal sunucusuna bağlanır, oradadan da diğer sistemlere erişir. Bu türden bazı terminal sunucuları, özel sistemlere bağlantıları kısıtlayabilen ilave güvenlik özelliği de sağlarlar. Şekil 3.29. Perdelemeli firewall için ana modem uygulaması
Modemlerden yapılan bağlantılar internetten yapılan bağlantılarda olduğu gibi bir takım tehditlere açık olduğundan izlenmeleri ve emniyetlerinin sağlanması gerekir. Bu nedenle ana modem sunucusunu firewallun dışında oluşturmak, modemle yapılacak bağlantılar firewall içinden geçeceğinden emniyetli bir yöntemdir.
Ayrıca uygulama geçitinin gelişmiş erişim denetleme yeteneği, internetden olduğu gibi modemden bağlanan kullanıcıların erişim yetkilerini doğrulamakta kullanılabilir. Paket filtreleme yönlendiriciside dahili sisteme ana modem sunucusundan yapılacak bağlantıları önlemek için kullanılabilir .
Şekil 3.30. Perdelenmiş alt ağ ve çift taraflı geçit tipi firewall için modem bağlantısıSistemin dezavantajı ise, modem sunucusunun internete doğrudan bağlanması ve bu yüzden saldırıya açık olmasıdır. Ana sunucuya bağlanabilen bir saldırgan yine bu sunucunun üzerinden diğer ağlara giriş yapabilir. Bu sebeple ana modem sunucusundan, başka ağlara yapılacak bu tür bağlantıları engellenebilmelidir. [31]
3.4.5. Firewall’un dezavantajları
Firewall'un bazı dezavantajları ve kusurlarıda eksik değildir tabii ki. Bu problemleri şöyle özetleyebiliriz:
Firewall için en büyük dezavantaj kullanıcıların bazı çok kullanılan (telnet, ftp, x-wındows, nfs gibi) servislere erişiminin kısıtlanmasıdır. Ancak, bu dezavantaj firewall'a özgü değildir. Firewall ile network erişimi, yerel ağların güvenlik planına bağlı olarak, host (kullanıcı) düzeyinde çeşitli opsiyonlar ile kısıtlanılabilir. Kullanıcı ihtiyaçları ile güvenlik şartlarını dengeleyen iyi planlanmış güvenlik planı, bu tür kısıtlanmış erişim problemlerini çözebilir. Bazı durumlarda yerel ağ sistemleri firewall'a uygun olmayan topolojiye sahip olabilirler veya firewall kullanıldığında, sistemin yeniden yapılandırılmasının gerektiği NFS gibi servisleri kullanabilirler. Örneğin, bir yerel ağ, ağ geçitleri (gateway) arasında NFS ve NISA protokollerini kulanmak zorunda ise, firewallu eklemenin bedeli, hacklanabilirliklerin bedeli ile karşılaştırılmalı ve risk analizi yapılmalıdır. Bu durumlarda alternatif çözümler daha uygun olabilir.
Firewall, trojan türü data içeren veri paketlerine karşı da ağı koruyamaz. İçinde bir hacker tarafından yerleştirilmiş programlar bulunan veri paketleri ile yapılan saldırılarda (backdoor oluşturan programlar) firewall için potansiyel bir tehlike mevcuttur. Bu metodla istemci, sunucudaki erişim kontrollarını değiştirip gizli dosyaları açabilecek programları bizzat sunucu yani server tarafında çalıştırabilir. Saldırıların bu türü sendmailin çeşitli versiyonlarına karşı geçmişde çok defa yapılmıştı.
Eğer firewall tarafından korunan ağın içine sınırsız modem erişimi izini verilirse, saldıran kişiler firewallu rahatça geçebilir. Modem hızları , slip (serial line ip) ve ppp (point point protokol) için oldukça yüksektir. Güvenli sanılan alt ağlar içindeki slip veya ppp bağlantıları, aslında diğer networklere bağlantı kurulabilecek gedikler ve potansiyel backdoorlardır.
Firewall genellikle ağın içerisinden gelen tehditlere karşı koruma sağlamaz.
Multicast video ve ses içeren IP paketleri de firewall tarafından filtre edilmediğinden ayrı bir potansiyel tehlike kaynağıdır.
Firewallar virüsler içinde bir güvenlik sağlamaz. Çünkü internetten indirilen yada e-mail ile gelen paketler içinde virüsler kolaylıkla şifre edilebilirler veya sıkıştırılabilirler. Firewall virüs imzalarını aramak için böyle programları taramaz. [27-29]
4. PC GÜVENLİĞİ
4.1. ISS Şifrelerinizin Korunması
4.1.1. Güvenliğin önemi
ISS account olarak bilinen kullanıcı adı ve şifre ikilisinin bilgisayarda kayıtlı bulunmaması gerekmektedir. Dial-up connection ile internete bağlanıldığında, şifre doğrulanması sırasında sık sık hata veriyor ve hattan atma oluyor ise, o zaman kullanıcı şifresi başkası tarafından çalınmış ve kullanıyor olabilir.
Bu durumda neler olabilir?
1 - İnternete bağlanamazsınız. Şifreyi çalan kişi sizin adınıza bağlanır ve o anda siz bağlanmak isteyip 0822' li ISS'yi aradığınızda şifrenizin kullanımda olduğuna dair bir hata mesajı çıkar ve hattan atılırsınız. Şekil 4.1. ISS şifresi hata mesajı
2 - Şifreniz kullanılarak yapılan yasadışı işlemlerden siz sorumlu olursunuz. Sizin şifreniz kullanılarak bir devlet kurumunun web sitesinin hack edilebilir. Bu şifre kime aitse bu olayda o sorumlu tutulur. Bir web siteniz varsa eğer, sizin e-posta şifrelerinizi öğrenen kişi önce bu hesabı kendi bilgisayarına aktarır. Sitenizi elinizden almak için de Web sitenizi host eden sunucuya bağlandıktan sonra e-mail adresinizi girer ve şifreyi kaybettiğini, bir daha gönderilmesini istediğini belirten bir butona tıklar veya mail atar. Birkaç dakika sonra da sizin web sitenizin şifreleri, çaldırdığınız posta adresine gönderilir. Bu şifreler onun eline geçtikten sonra da o web sitesi harap edilebilir.
4.1.2. Nasıl korunmalı
Şifrelerimizi koruma altına almak için neler yapmamız gerekmektedir.
1- Öncelikle şifrenizi çaldırdığınızdan şüpheleniyorsanız halen kullanmakta olduğunuz bütün şifrelerinizi değiştirin. Yeni şifreler şifreyi kullanan kişinin şahsi bilgilerini içermemelidir. Kırılması ve tahmin edilmesi çok zor ve olabildiğine karışık, uzun bir şifre olmalıdır. Bu şifreler içinde sayısal, alfanümerik ve küçük, büyük harfler aynı anda kullanılmalıdır. Yani Türkçe harf içermeyen, rakamlarla harflerin birbirine karıştırıldığı zor bir şifre. Bu şifreler kesinlikle bilgisayara kaydedilmemelidir. Bu şifreler ya akılda yada bir kağıda yazılıp sağlam bir yerde tutulmalıdır.
2- ISS şifresini değiştirdikten sonra ISS’ye bağlanmak için yapılan tüm uygulamaların silinmesi gerekmektedir.
3- Bilgisayarda yüklü bulunan bütün dosyaların uzantılarını görünür yapılmalıdır. Bunun için herhangi bir klasörde görünüm klasör seçenekleri klasör sekmesine gelip tüm dosyaların uzantılarının görünmesi sağlanabilir. Şekil 4.2. Klasör seçenekleri
Başlat bul dosyalar ve klasörler komutu çalıştırıldıktan sonra *.pwl yazılarak pwl uzantılı tüm dosyaların bulunması sağlanır. Bu dosyaları silerek bilgisayarda kayıtlı Windows şifresi, internet şifreleri silinmiş olacaktır. Şekil 4.3. Şifrenin kayıtlı olduğu .pwl uzantılı dosyalar
Sonra, daha önce kullanmış olunan programlardan hangisinde şifre kaydı yapılmış olduğu hatırlanarak bu programlar unistall edilir. Sonra tekrar yüklenir. Bu, daha önceden şifre girilmiş bütün programlar için böyledir. Windows klasörü altında bulunan Win.ini ve System.ini dosyalarını açarak daha önceden kullanmış olunan şifreleri aratılarak bu şifreler burada mevcut ise silinir.Şekil 4.4. Mirc.ini dosyası ve içeriği
4 - Bundan sonra da bilgisayara parola veya şifre girip şifreyi hatırla, şifreyi kaydet seçeneklerini kullanılmamalıdır. Çevirmeli ağ kullanarak pratik yoldan internet bağlantısı yapmak için kullanılan bir sürü yazılım vardır. Bunlardan bazıları kullanıcı adı ve şifresini önceden girip kaydetmenizi istemektedirler. Bunlar girildikten ve onay verildikten sonra da bunu Windows klasörü altına .pwl veya .ini uzantılı bir dosya açarak kaydederler. Bundan sonra da programın her açılışında şifre girmek artık gerekmez. Ama bu çok riskli bir yoldur ve password avcılarına davetiye çıkarır. Bu yüzden internet bağlantıları her zaman elle yapılmalıdır.
5 - Bazı şahıslar kişisel şifreleri öğrenmek, web sitelerini hacklemek, account çalmak için şu yöntemi geliştirmişler. Bu şifreleri alınacak kişiye e-mail gönderiliyor. Bu e-maili okumak için tıklandığında bilgisayar tekrar şifre soruyor. Kişide bu şifreyi tekrar girdiğinde şifreler otomatikman maili gönderen kişinin e-mail adresine gönderiliyor.
4.1.3. İnternete girmek için yeni bağlantı yapılması.
1- Çevirmeli ağ yeni bağlantı yap dedikten sonra şekillerde gösterilen yol izlenmelidir.Şekil 4.5. Yeni bağlantıŞekil 4.6. Yeni bağlantı numarası
Şekil 4.7. Bağlantı sonuŞekil 4.8. Bağlantı özellikleri
Yeni bağlantı dosyasının simgesine sağ tıklayıp özellikler komutu çalıştırılır. Açılan pencerenin altında modem ve yapılandır butonu seçilerek modemin özellikleri görüntülenir. Seçenekler bölümüne girilerek bağlantı denetiminde çevirmeden önce uç birim penceresini getir seçeneği seçilmez. Çevirdikten sonra uç birim penceresini getir seçilir. Böylelikle yapılandırma tamamlanmış olur. Şekil 4.9. Yapılandırma ayarları
3- Şimdi çevirmeli ağ penceresinde bağlantılar menüsünden ayarlar komutunu seçilerek ve pencerenin başından başlayarak iki kutucuğun da işaretlenmiş olduğundan
emin olunmalıdır.Şekil 4.10. Güvenlik ayarları
Bağlantı yapmak istenilen dosyanın simgesi üzerine çift tıklanarak burada kullanıcı adı ve parola kutularının boş olduğundan emin olunmalıdır.Şekil 4.11. Kullanıcı adı ve parolası
Bağlantıyı kurduğunuzda parola ve şifre doğrulanması sırasında siyah bir ekran çıkacaktır. İşte bu uçbirim penceresidir ve kullanıcıdan kullanıcı adı (username) ve
şifresi(password) isteyecektir. Bu değerleri girilerek bağlantı tamamlanır. [29]Şekil 4.12. Bağlantı ekranıŞekil 4.13. Çevirmeli uç birim ekranı
4.2. İnternet Explorer Güvenlik Ayarları
İnternet Explorer, Microsoft tarafından geliştirilen bir web browser sürümüdür. Şu anda Windows tabanlı her makinada kurulu olduğu ve kaldırılamadığı için bu browser (tarayıcı) çok önemlidir. Bu konu ile ilgili bilgi verilirken kullanım bakımından en çok kullanılan sürüm olarak İnternet Explorer 5.0 Türkçe sürümü baz alınacaktır.
İnternet Explorer, birçok bug ve hayati düzeyde güvenlik delikleri içermektedir. İnternet Explorer 5'in tasarımındaki bir hatayla ortaya çıkan büyük güvenlik gediği, Web'de gezen ve e-posta işlemlerini gören kullanıcıların sistemlerini tehlikeye atmaktadır.
İnternet Explorer 5’de bulunan bir güvenlik gediği sayesinde isteyen herkes birkaç satırlık bir HTML kodunu kullanılarak bilgisayar sisteminizin kontrolünü ele geçirebilmektedir. Üstelik, böylesi bir kodu içeren bir sayfayı ziyaret edildiğinde sistem tehlikeye atılmış oluyor.
Bu zararlı HTML kodu, bir e-posta mesajının içinde de yer alabiliyor. Dolayısıyla, HTML kodu içeren mesajları görüntüleyebilen Outlook Express, gibi e-posta yazılımları sayesinde, IE 5, perde arkasında da harekete geçebiliyor.
Öte yandan, güvenlik gediği, haber grubu (newsgroup) işlemlerini de IE5 kullanarak gören kullanıcıları da riske atıyor; çünkü, bu gruplardan birine e-posta halinde gönderilen bir mesajın da aynı zararlı HTML kodunu içermesi mümkün.
Bu gediğin asıl sebebi, İnternet Explorer 5'le birlikte gelen bir ActiveX denetimi. Microsoft'un geliştirdiği ActiveX, başka programlarca çalıştırılabilen yazılım bileşenleri yaratmak için kullanılan bir yordam. ActiveX denetimi scripletleri bir e-posta ya da web sayfasını görüntülendiğinde çalışan küçük programcıklar yaratmak amacıyla var.
İşin garip tarafı, bu denetimin kullanıcının dosya sistemine erişmesinde herhangi bir sınırlama yok; kısacası yaşamsal önemi olan dosyaları silmek ya da truva atı (trojan) özelliği gösteren programlanmış tehlikeleri sisteme sızdırma görevlerini rahatlıkla yüklenebiliyor. [28-30]
4.2.1. İnterent Explorer güvenlik hatalarına karşı alınacak önlemler
1-) İnternet Explorer'ın hangi sürümü kullanılırsa kullanılsın önce http://windowsupdate.microsoft.com kullanılan browser için yama ve patch dosyaları çekilmelidir.
2-) Bu yama ve patch dosyaları kurulduktan sonra browser ayarlarını yapmak gerekmektedir. Denetim Masası İnternet Seçenekleri seçilir. Gelen pencerede ilk olarak Güvenlik (Security) sekmesinde tüm internet bölgeleri için ayrı ayrı güvenlik düzeyi bölümünde yüksek (high) seçeneği seçilir. Explorer, seçilen mertebe durumuna göre varsayılan güvenlik ayarlarını otomatikman yapacaktır. Bu ayarları elle de yapmak mümkündür. Bunun için özel düzey butonuna tıklayarak açılacak pencerede Active X görülen seçeneklerin hepsi devre dışı bırakılmalı veya sor denilmelidir. Diğer seçenekler ise kişinin kendi tercihlerine göre ayarlanabilir.
Bu yapılan ayarlar, kullanılan browserı daha yüksek güvenli, ama daha az işlevsel kılacaktır. Yani bundan sonra internette bazı her sayfalar açılmayacak, tehlike arz eden dosya indirilmesine izin verilmeyecektir. Bunu yapmaktaki en büyük amaç, İnternet Explorer ile birlikte gelen ve sistem güvenliğini büyük ölçüde tehlikeye atan Active X
özelliğini devre dışı bırakmaktır. Şekil 4.14. İnternet Explorer güvenlik ayarları
3-) İnternet özellikleri penceresinde içerik sekmesine gelinerek. Kişisel bilgiler bölümünde Otomatik Tamamla butonuna tıklandığında açılacak pencerede yer alan tüm onay kutuları temizlenmelidir. Yine bu pencerenin altındaki Formları sil ve Parolaları sil butonlarına tıklayarak onay verilmelidir. Böylelikle bilgisayarda depolanmış olan cookies (çerezler) ve parola gibi kişisel bilgiler silinmiş olacaktır.
4-) İnternet Özellikleri penceresinde içerik sekmesi tıklatılır. Alt bölümde otomatik tamamla adlı butonun altında profilim ve yüklenmişse wallet olmak üzere iki buton olmalıdır. Wallet, internette alışveriş için kişisel bilgilerinizi saklar. Öteki, yani profilim kişisel bilgilerin girilmesini sağlar. Bu özellik hiç kullanılmamalıdır. İsim dahil hiçbir şey girilmemelidir. Girilecekse bile yanlış bilgiler girilmelidir.
5-) Yine internet özellikleri penceresinde bağlantılar, programlar ve gelişmiş sekmelerinde güvenlik için herhangi bir ayar yapılmasına gerek yoktur. Bu seçenekler varsayılan ayarlarla kullanabilir. Sadece bağlantılar sekmesinde yer alan bağlantılar içine girerek ISS şifresi kontrol edilir. Kayıtlı ise hepsi silinmelidir.
6-) İnternete bağlıyken ziyaret ettiğiniz sayfalar, daha sonradan çabuk erişim için özel bir klasörde tutulurlar. Şimdi, internet özellikleri penceresinde genel sekmesine tıklatılarak. Geçici internet dosyaları bölümünde yer alan dosyaları sil butonuna tıklatılıp bu silme işlemi yapılır. Bu ayar, web sayfalarınızın yavaş açılmasına neden olabilir. Bu ayarı aynen uygulanırsa hem sabit disk alanından, hem de güvenlikten yararlanılmış olacaktır. [28, 30]
4.2.2. Cookie(Çerez) nedir?
Cookie sisteme bir web sunucu tarafından kaydedilebilen küçük boyutlu (en fazla 4 KB) bir dosyadır. Cookielerin kullanım amacı, girilen web sayfasını daha önce girip girmediğinize göre ve daha önceki oturumlarda onunla ne gibi bir etkileşime girildiğine bağlı olarak kişiselleştirmektir.
4.2.3. Cookies çalışması
1- Netscape kullanan PC’lerde , bilgi Cookies.txt adlı bir dosyaya konur. Web siteleri, bir harddiske başka siteler tarafından yerleştirilmiş cookieleri okuyamazlar.Şekil 4.15. Çerezlerin (Cookies) çalışması
2- Bir site ziyaret edilirken, kullanılan browser ziyaret edilen URLyi inceler ve cookie dosyasına bakar. Eğer o URL ortak bir cookie bulursa, bu cookie bilgisini servera yollar. Server artık bu cookie bilgisini kullanabilir. Eğer URL ile ilgili hiç cookie yoksa, server cookie dosyasının içine bir cookie yerleştirir. Şekil 4.16. Çerezlerin (Cookies) diske yerleştirilmesi
4- Server, cookielere bağlı olarak hareket etmektedir. Eğer site online alışverişinize olanak tanıyorsa, kredi kartı numaranızı sormuş olabilir. Güvenlik nedeniyle, bu bilgi cookieler içinde saklanmayacaktır. Bunun yerine, güvenli bir serverda saklanır. Birşey almaya karar verdiğinizde, browser ile güvenli bir alana girersiniz. Cookie sonra sizi tanıyan servera bir ID yollar, ve server sizin kredi kartı bilginizi göstererek, online alışveriş yapmanızı sağlar.
Web browser çalışması gerektiği gibi çalışıyorsa cookie’lerin açabileceği tehlikeler en düşük seviyededir. Cookie’ler sabit diske kaydedilen ama çalıştırılabilir programlar değillerdir. Sistemde araştırma ve bilgi toplama işlemleri gerçekleştiremezler. Web siteleri, bir hard diske başka siteler tarafından yerleştirilmiş cookie’leri okuyamazlar. Cookies, web siteyi kullananları bulmakta kullanılabileceği gibi, başka bilgiler edinmek içinde kullanılabilir. Cookie’ler sayesinde Web server logları detaylı olarak incelenir. Örneğin bir internet sitesinden kredi kartı numaranızla alışveriş yapıldı. Daha sonra da güvenli olmayan bir web sitesine girildi. Browser ayarları yapılmamışsa daha önceden değişik sitelerdeki formlara yazıp yolladığınız bütün şifreler, numaralar, kişisel bilgiler vs. karşı tarafın eline geçebilir. Bunun için cookie’ler sistemden kaldırılmalıdır. [28, 30]
4.2.4. İnternet Explorer şifreleme algoritması
İnternet üzerinde ticaret yapan çoğu şirket, web sitelerinde kullanıcıların güvenli bir şekilde sitelerinden alış-verişlerini yapmalarını sağlamak amacıyla SSL denilen özel şifreleme sisteminden faydalanılır. Bunu kullanan sitelerde adres şöyle başlar: https:// Şu an kullanmakta olduğunuz İnternet Explorer’ın bütün sürümleri 40 bitlik şifreleme algoritmasına sahiptir. Sizin browser kaç bitlik bir algoritmaya sahipse karşı tarafa göndereceğiniz bilgiler o formata göre şifrelenip tanınmaz hale getirildikten sonra gönderilir. Fakat bugün 40 bitlik şifreleme düzeyi yetersizdir. Bu konu hakkında şifreleme ve e-ticaret başlıkları altında daha detaylı bilgiler verilecektir. [29]
4.3. Nestcape Navigator Güvenlik Ayarları
Navigator tasarlanırken acemi kullanıcılarında kullanabileceği kadar basit olması amaçlandığı için kendi yaptığı bazı işlemleri ve ayarları kullanıcıya göstermemektedir. Bu nedenle navigatorun yaptığı seçimler hem disk kullanımı hem de sistem güvenliğini etkileyecektir. Navigatorun ileri düzey kullanıcıların kullanabilecekleri ön bellekleme, cookie almak ve javada aplet çalıştırmak konusunda kısıtlı da olsa seçimler yapabilme olanağı sunmaktadır. Security İnfo (Güvenlik Bilgileri) seçeneği ile güvenlikle ilgili bilgileri ve seçimleri gözden geçirmemizi sağlar. Java apletleri alma, şifreleme, parolalar ve diğer güvenlik tedbirleri ile ilgili ayarlar bu seçenek kullanılarak düzenlenebilir.
4.3.1. Cookie yöntemi
Daha önce cookienin ne olduğu açıklanmıştı. Navigator cookielerin kullanım şeklini kontrol altında tutmamıza olanak verir. Navigatorda varsayılan ayar tüm cookielerin kabul edilmesi şeklindedir. Cookieleri geri çevirme, duruma göre cookielerin kabul edilip edilmeyeceğinin sorulması vb. bir takım seçenekler sunulur.
Bu seçenekler Edit menüsünden prefences seçeneği tıklanarak prefences iletişim kutusundan catecory listesinden Advanced seçilerek sağ panelin alt kısmındaki listede cookie yönetimini sağlayacak seçenekler mevcuttur. Buradan istenile seçenek işaretlenerek bu seçenekler işleme hazır hale getirilebilir.
Navigator sakladığı cookielerin bir listesini cookies.txt ismindeki bir dosya içersinde tutmaktadır. Bu dosya ise C:\Program Files\Netscape\Users\Navigator ve kullanıcı adı klasörünün içinde bulunmaktadır.
4.3.2. Ön Bellek (Cache) yöntemi
Navigator, internette girdiğimiz bazı web sayfalarını saklamaktadır. Bunun sebebi ise o sayfalara tekrar girdiğimizde sayfanın hızlı bir şekilde görüntülenmesinin sağlanmasıdır. Bu bilgilerin başkaları tarafından görülmesi istenmiyorsa bu sayfalar silinebilir. Bu işlem hem navigatorun sunduğu seçenekler yardımı ile hemde C:\Program Files\Netscape\Users\Navigator kullanıcı adı\Cache klasörü içindekiler silinerek yapılabilmektedir.
4.3.3. Java ve javascriptler
Javay ile ilgili güvenlik sorunlarından kurtulmanın en basit yolu onu devreden çıkarmak olacaktır. Javayı devre dışı bırakmak demek web sayfalarının gelişmiş özelliklerinin kaybolması demektir. Bu da navigatorun sunduğu seçenekler ile mümkündür. İstenirse de java apletlerine ek ayrıcalıklar verilebilir. Bunlar İnternet Explorer’daki ActiveXe benzetilebilir. Eğer java apletlerine imtiyazlar verilirken imtiyaz verilen apletin dijital olarak imzalanmış ve sertifikalı olmasına dikkat etmek gerekmektedir. Navigator bu sertifika ve imzaların kaydını tutmaktadır. Bu ayarlar yine Secure Info seçeneği ile yapılabilmektedir.[30]
4.3. Outlook Express Güvenlik Ayarları
Outlook Express, bilindiği gibi e-posta gönderip almamızı ve haber gruplarına bağlanmayı sağlayan İnternet Explorer ile birlikte gelen bir yazılımdır.
Outlook Express e-posta ve haber okuyup gönderebildiği için sizin bu işlemleri yapabilmeniz için mail ve news hesaplarınızın olması gerekir. Yani çeşitli servis sağlayıcı şirketlerden almış olduğunuz hesap bilgileri ve her biri ayrı ayrı olacak şekilde kullanıcı adı parola ikilisi. Burada da şifre güvenliğini sağlamanız gerekmektedir. Bu programda da şifrelerin bilgisayara kaydedilmemesi gerekmektedir. [29, 30]
Gönderilecek e-mailin gizli bilgiler içermesi veya başkaları tarafından okunmasının önlenmesi istenmesi durumunda e-posta gönderiminde kullanılan PGP şifreleme algoritmasının kullanımı outlook tarafından da desteklenmektedir. [32]
Birde çalıştırılabilir e-mail eklentileri başkalarının sisteminize girmesine neden olabilirler. İstenmeyen kişiler, e-mail eklentisi olarak gönderilen çalıştırılabilir dosyalara erişebilmektedirler. Hackerlar bu dosyaları daha çok virüsleri yaymak için kullanmaktadırlar. Bunlara önlem olarak Microsoft'un web sayfasındaki bir yama yüklenebilir.
Özellikle e-postalar ile yayılan virüslerin artmasıyla Outlook güvenlik güncellemesi en önemli güncellemelerden biri haline gelmiştir. Ancak güvenlik güncellemesinin yüklü olduğu sistemlerde Outlook, EXE uzantılı bir dosyanın eklendiği e-postaları engeller. Şayet Outlook 2000 SR1 ve güvenlik güncellemesini yüklenmiş ise, Microsoft’tan yapılan açıklamaya göre EXE dosyaları gibi birinci derece güvenlik önlemine sahip olan dosyaları doğrudan doğruya e-posta eklentisi olarak kullanılamamaktadır. Bu durumda söz konusu dosyaların sıkıştırılarak zip halinde kullanılmasını önerilebilir. Gerekirse e-posta eklentileri için güvenlik güncellemesini, kurulduktan sonra da etkisiz hale getirebilirsiniz.
Outlook 2000, 98 veya 97 ve eski güvenlik yamalı kullanıcılar daha basit bir önlem alabilirler. E-posta eklentisini doğrudan çağırmak yerine, ilk önce sabit diske kaydedilir. Farenin sağ düğmesini kullanarak eklenti üzerine tıklanır ve nesne menüsü üzerindeki yerel diske kaydet komutunu çalıştırılır. Ancak bu durumda Outlook virüslü bir eklenti içerisinde virüs bulamaz. Eğer virüs içeren bir dosyayı kaydeder ve daha sonra bunu çalıştıracak olursanız bilgisayarınıza virüs bulaştırabilirsiniz. Bu nedenle siz açmadan veya çalıştırmadan önce iletilerinizi ve eklentilerini gözetim altında tutan bir anti-virüs programı ile bu dosyalar kontrol edilir.
Outlook ile bulaşabilen virüsün nasıl bulaştığına bir örnek verirsek;
VBS/Bubbleboy ek olarak gelen bir dosyanın açılmasına gerek kalmadan e-posta ile bulaşan ilk virüstür. Virüs kullanıcı mesajı Outlook'ta açar açmaz çalışır. Outlook Express'te mesajı Önizleme Panelinde görüntülemek bile virüsün bulaşması için yeterlidir.
Virüslü eposta aşağıdaki gibidir:
From: (virüs bulaşmış kullanıcının adı)
Subject: BubbleBoy is back!
Body: The BubbleBoy incident, pictures and soundsŞekil 4.17. Virüslü e-posta
Epostayı alana virüs bulaşır ve email solucanı (worm) dosya eki olmaksızın yayılmaya devam eder. Kullanıcı böyle bir email aldığında ve açtığında solucan(worm) iki dosyayı oluşturmaya çalışır:
C:\WINDOWS\START MENU\PROGRAMS\STARTUP\UPDATE.HTA ve C:\WINDOWS\MENU INDICIO\PROGRAMS\INICIO\UPDATE.HTA.
Bu yerler İngilizce ve İspanyolca Windows başlangıç klasörleridir. Bu dosya oluşturulduktan sonra sistem tekrar başlayana kadar virüs herhangi bir şey yapmaz. Daha sonra solucan (worm) ActiveX özelliğini kullanarak sistem kaydına ulaşır. Windows'un kayıtlı kullanıcısını "BubbleBoy" ve şirketini de "Vandelay Industries" olarak değiştirir.Şekil 4.18. Virüs tarfından kayıtların değiştirilmesi
Daha sonra Melissa virüsünün yaptığı gibi ActiveX özelliğini kullanarak Outlook'u açar ve adres defterindeki herkese kendini e-postalar. Ayrıca kayıta eposta gönderdiğine dair bir de anahtar ekler:
Daha sonra solucan(worm) aşağıdaki gibi bir mesaj gösterir: System error, delete "UPDATE.HTA" from the startup folder to solve the problem. Kullanıcı bu mesajı gördüğünde bulaşmış epostalar çoktan alıcılara ulaşmış olacaktır. [31,32]
Outlook'ta active scripting özelliği devre dışı bırakılırsa solucan (worm) çalışamaz.
4.4. Irc Ortamında Dikkat Edilecek Hususlar
4.4.1. Şifre güvenliği
IRC ortamında bulunan kişilerin için nickleri ve kanal şifresi çok önemlidir. Kanal şifreniz varsa nick şifrenizi korunmalıdır. Çünkü şifreyi başkasına kaptırdığınız zaman kanalı ona vermiş sayılırsınız.
Mirc kullanırken bütün işlemleri Status penceresinde yapın. Yani bu pencerenin logunun tutulmadığından emin olun. Sohbetin logu tutulmasın. Çünkü siz sohbet sırasında şifre girmeniz gerektiğinde yazdığınız şifreyi sizden başka kimse göremez ama sohbetin logu tutuluyorsa bir hacker sisteminize sızıp log dosyanızı çalarak şifrenizi ele geçirebilecektir.
4.4.2. Dosya alış-verişi
Dikkat edilmesi gereken en önemli ve tek husus : Başkalarından, tanıdığınızdan, dostlarınızdan, her kim ve ne ad altında olursa olsun hiçbir yerden .exe, .com, .ini dosyalarını alınmamalıdır. Çünkü bu dosyalar kılık değiştirebiliyor. Örneğin size bir jpg uzantılı bir dosya gönderiliyor. bu dosya normal bir şekilde çalışıyor ama bir trojanı da içerebileceğinden sisteminizin kapılarını Hackerlara ardına kadar açabilmektedir. Yada bir virüsü sisteminize bulaştırabilir. Ayrıca kullanıcının haberi olmadan bilgisayardaki bit trojan kendini irc ortamında sağa sola gönderebilir. Bu sorunu çözmenin en iyi yolu mIRC'nin yüklü olduğu klasörüne bakmaktır. Bu gönderme işini klasör altında DMSetup.exe veya Script.ini dosyaları yapmaktadırlar. Bunlar silinmelidir. Daha sonrada mirc uninstall edilip yeniden yüklenmelidir.
Ayrıca IRC servera bağlandığınızda adresinizde "typehere" yazıyorsa büyük ihtimalle mIRCe trojan bulaşmış demektir. mIRC uninstall edilip yeniden yüklenmelidir.
4.4.4. Dikkat edilmesi gerekenler:
mIRC'de File, Print Sharing seçeneğini açık bırakılmamalıdır. Bırakılırsa en tecrübesiz hacker bile sisteme sızar. Açık bırakılması gerekiyorsa uzun, tahmin edilmesi zor ve çok güçlü bir şifre kullanılmalıdır.
mIRC'nin scriptsiz olan sürümlerini kullanmak bazı scriptlerde yer alan buglar scripti bilen kimselerin PC'nize girmesini engeller. [29]
4.5. Programlanmış Tehlikeler
4.5.1. Virüsler
PC disketleri, CD’leri, İnternet ve diğer network bağlantıları yoluyla sisteminize bulaşan ve arka planda sinsice çalışarak hasarlı veya hasarsız işlem yapan programlara virüs denilir. Virüsler tüm sisteminizi çökertebilir, diskleri silebilir veya rasgele değiştirebilir, rasgele mesajlar gönderebilir veya bilgisayar sisteminin güvenliğini tamamen yok edecek bir duruma sokabilir. Bir bilgisayar virüsü, başka bir programın sonuna kendi kodunu ekleyen ya da o programı silerek üzerine kendi kodunu kopyalayan, yani bir anlamda kendisini o programla değiştiren bir program ya da çalıştırılabilir bir kod parçasıdır.
İlk bilgisayar virüsleri, programlama hünerlerini ispatlamak ve bilgisayar güvenlik sistemlerinin içine kolaylıkla sızılabildiğini göstermek amacıyla programcılar tarafından tasarlandılar. Günümüzde ise bilgisayarın sabit diskindeki verileri bozmak ya da FAT, boot sektör, veri ve program dosyalarına zarar vermek üzere geliştiriliyorlar. Bilinen virüs sayısı 5000'den fazladır ve gün geçtikçe sayıları artmaktadır. [33-36]
4.5.1.1. Nasıl bulaşır
Bilgisayar virüslerinin en yaygın bulaşma yollarından biri virüs kapmış bilgisayar programlarıdır. Virüs kodu bilgisayar programına, örneğin; sık kullanılan kelime işlemci bir programa ya da beğenilerek oynanılan oyun programına, programı yazan ya da yayan kişi tarafından eklenir. Sonuçta, virüslü programları çalıştıran kişilerin bilgisayarları potansiyel virüs taşıyıcısı olur. Virüslenmiş program çalıştırıldığında bilgisayar virüs kodu da bilgisayarın hafızasına yerleşir ve zamanla zarar vermeye başlar.
4.5.1.2. Bilgisayar virüslerinin çeşitleri
Bilgisayar virüsleri genel olarak iki grupta toplanmaktadır.
1- Dosyalara bulaşan virüsler
Bu tür virüsler genellikle, kullanıcının çalıştırdığı programlara bulaşır. Bazen başka bir tür sistem dosyalarına da bulaşırlar. Ancak virüslerin çoğu kendini bilgisayarın hafızasına yükler. Programın virüslenmesi iki yolla olur;
Birincisi virüs kodu bilgisayarın hafızasına yerleşmiştir ve her program çalıştırılışta o programa bulaşır. İkincisi ise hafızaya yerleşmeden sadece virüslü program her çalıştırılışında etkisini gösterir.
2- Bilgisayarın sistem alanlarına bulaşan virüsler
Bu gruba giren virüsler ise, bilgisayarın ilk açıldığında kontrol ettiği özel sistem alanlarına (boot sector) ve özel sistem dosyalarına (command.com) yerleşirler.
Bazı virüsler de her iki şekilde de zarar verebilen özelliğe sahiptir. Kimileri de virüs arama programları tarafından saptanmamak için gizlenme teknikleri kullanırlar. Memory Resident virüsler ise bilgisayarınızın farklı bellek bölgelerine yerleşerek tanınmayı engellerler. Bir uygulama çalıştırılıncaya kadar bellekte kalır ve sonra bilgisayarınızı etkilerler.
Boot sectorü virüsleri : Bilgisayar açılırken, işletim sistemi veya herhangi bir başlangıç dosyası yüklenmeden önce, sabit diskteki boot sektörüne bakar. Boot sektör virüsü sabit diskin boot sektöründeki kodu kendisininkiyle değiştiren virüstür. Bir bilgisayara boot sektör virüsü bulaştığında herşeyden önce virüsün kodu belleğe alınmış olur. Virüs belleğe girdikten sonra, enfekte olmuş bilgisayarın diğer disklerine de kendini kopyalar.
Bu tür virüsler hasar verici fonksiyonlara sahip değildir. Ancak Master Boot Record (MBR) kaydının ve her sabit diskin disk bölümünün tablosunun üzerine yazarak NTFS sistemine kurulu Windows NT bilgisayarların sistem kaydını değiştirdikleri için bu sistemleri kullanılmaz hale getirebilir.
Bu tür virüslere örnek olarak şu virüsleri sıralayabiliriz : Lezop, 1253, Liberty, AirCop, New Zealand, Spanish Trojan, Anthrax, SVC60, Beijing/Bloody, 12, Trackswap Filler, Trick Trojans
Alınacak önlemler
v BIOS'taki virüs korumasını etkinleştirilmelidir.
v BIOS'ta boot sırası değiştirilir; Bu şekilde sistemin sürücüde unutulmuş bir disketten açılmasını önlemiş olunur.
v Disketler yazmaya karşı korumalı olarak kullanılmalıdır.
v Güncel anti-virüs yazılımlarını kullanılmalıdır ve disketler kullanmadan önce virüs taramasından geçirilmelidir.
Makro virüsleri: Makro virüsleri günümüzde en çok yayılan virüs çeşididir. Bu virüsler Office'in makro fonksiyonlarını kullanıp office dokümanlarının alışverişinde kullanıcının sistemine bulaşırlar. Bir düğme tıklandığında veya doküman açıldığında bile virüs işler hale geçebilir. Virüs programcıları genellikle Auto Open makrosunu kullanmayı tercih etmektedirler, bu makro bir Word dokümanı açılırken otomatik olarak çalışır. Virüs böylece belleğe geçer. Bu tür virüslerin yayılmaktan başka zararları yoktur. Ama Amerikalı David Smith tarafından yazılmış olan 1999'un başında kısa zamanda binlerce Windows bilgisayarını ve mail sunucusunu çökerten Melissa makro virüsü, bu tür virüslerin de ne kadar etkili olabileceğini gösteren oldukça iyi bir örnektir. Bu virüs, Word makro virüsüydü ve Outlook adres defterindeki 50 kayda kendini gösteriyor daha sonra da dokümanların ve sistem kaydının içeriğini değiştiriyordu.
Çoğu virüs program dosyalarını etkilerken makro virüsleri veri dosyalarını etkilemektedir. Makro virüsleri özellikle Microsoft Word ve Microsoft Excel dosyalarını etkilemektedir.
Örnek bazı virüsler Alliance, Boom, Concept, Goldfish, KillDLL (Microsoft Word), Laroux, Sofa (Microsoft Excel)
Makroların virüsünün belirtileri
v Etkilenen Word dokümanını başka bir formata çevrilememektedir.
v Etkilenen dokümanı "Template" formatında bulunmaktadır.
v Farklı kaydet komutu kullanılamamaktadır.
v Başlangıç klasöründe yabancı dosyalarla karşılaşılmaktadır.
Alınacak önlemler
v Dökümanlar açılmadan önce gözden geçirilmelidir.
v Programların kendilerine ait makro korumaları etkinleştirilmelidir. (Microsoft office'de Araçlar, Seçenekler , Genel -veya Makro).
v E-mail ile alınmış olan dökümanlar virüs taramasından geçirilmeden açılmamalıdır.
v Üzerinde çalışılan doküman belli zamanlarda yedeklenmelidir.
Skript virüsleri: Hem İnternet Explorer hem de Outlook Express, Visual Basic ile programlanmış skriptlerle doğrudan işletim sistemi ile birlikte çalışabiliyorlar. Visual Basic Skript sistem kaydına ve dosyalara erişime olanak tanıyor. Skript virüsleri bir internet sayfası veya elektronik posta eklentisi açılırken etkin hale geliyor. Örneğin bir problemin çözümü için otomatik olarak sistem bilgisini içeren bir e-mail yazılım firmasına gönderilmek üzere düşünülüyor ancak İnternet Explorer ve Outlook Express'in saldırıya açık bu yanlarından hackerlar, dosyaları silmek ve sabit diski formatlamak için faydalanıyorlar.
Alınacak önlemler
v Güncel anti-virüs yazılımları kullanılmalıdır.
v E-mail ile alınan programlar çalıştırılmamalıdır.
v Uzantısı çok olan dosyalar açılmamalıdır. Örneğin selinad.txt.vbs dosyası gibi.
v Browserın en güncel sürümü kullanılmalıdır.
v En yeni Outlook güvenlik yaması kurulmalıdır.
4.5.1.3. İşletim sistemleri ve virüsler
Virüslerin bulaşma ve çoğalma yerleri sadece PC’ler değildir. Ama en çok Dos ve Windows işletim sistemi ile çalışan PC'lere bulaştığı da bir gerçektir. Macintosh virüsleri de oldukça yaygındır. Unix işletim sistemi ile çalışan bilgisayarlarda virüs bulaşma vakaları oldukça azdır.
4.5.1.4. Virüslerden korunma yolları
Virüslerden korunmanın garantili bir yolu yoktur. Ancak aşağıda belirtilen önlemler alınırsa zararlar en aza indirilebilir.
v Açılış (boot) disketinin temiz olduğundan emin olunmalıdır.
v Kullanıla anti-virüs yazılımı güvenli bir yerden alınmalı ve en yeni sürümü kullanılmalıdır. Anti-virüs yazılımının tüm fonksiyonları hakkında bilgi edinilmelidir.
v Virüsler hakkında bilgi edinilmesin yarar vardır.
v Her ihtimale karşı bilgiler yedeklenmelidir. [24, 28, 33, 35, 36]
4.5.2. Trojanlar (Truva atları)
İnternet, disket ve diğer network bağlantıları yoluyla sisteminize bulaşan, görünüşte masum ve başka hiçbir şey yapmıyor görünen ama arka planda sinsice çalışarak hasarlı veya hasarsız başka işlemler yapan programlara truva atı denmektedir. Bu tür yazılımlar sistemi çökertebilir, diskleri silebilir, rasgele mesajlar gönderebilir, sistemden bilgi çalarak rakiplere gönderebilirler, yetkisiz kişilere açabilirler. Trojan'ın kendisi bir virüs değildir. Trojan kendisini zararsız bir program gibi (örneğin bir oyun ya da yardımcı program) gösterir. Kendi kendini çoğaltmaz.
Trojanlar genelde sistem her açıldığında gerekli Windows sürücüleri ile birlikte yüklenirler ve böylece bu .exe dosyaları çalıştırmış olur. Trojan dosyası çalıştıktan sonra da yaptığı şey, kendi portunu açmaktır. Bu programcıklar genelde arka planda çalışırlar. Sanki Windows bileşeniymiş gibi. Windows açık olduğu müddetçe sürekli ayakta ve tetikte kalmaları ise bir sisteme bulaştıktan sonra Win.ini dosyasına kendi yerleştikleri dizini ve isimlerini ekleyerek Windows'un bundan sonraki her açılışında otomatik olarak kendilerini belleğe yükletmeleri ve çalıştırtmaları şeklinde olur. Trojanlarla saldırganların amacı daha çok bazı şifreleri internet servis sağlayıcılarının bağlantı şifresi gibi ele geçirmektir. Bu programa trojan (truva atı) denmesinin sebebiyse bilgisayarın trojanı faydalı bir program olarak görmesi, trojanın faydalı bir program arkasına gizlenerek sisteme girmesi ve bir bakıma içten vurmasıdır.
4.5.2.1. Trojanlara karşı alınabilecek önlemler
v Güncel anti-virüs yazılımları kullanılmalıdır
v Çoklu uzantısı olan dosyalar asla açılmamalıdır. Örneğin resim.bmp.exe gibi.
v Irc ortamında ve e-mail ile gönderile dosyalar kontrolsüz açılmamalıdır.
The Aids Information, NetBus, SubSeven ve Darth Vader programları trojanlara örnek olarak verilebilir. [24, 28, 33, 34, 35, 36]
4.5.3. Solucanlar (Worms)
Solucanlar, ağdan bir bilgisayardan başka birine kendini aktaran küçük programlardır. Kendi kopyalarını ya da parçalarını başka bilgisayar sistemlerine aktarabilirler. Bu aktarma irc, e-mail eki ile veya yerel ağda paylaşıma açılmış Windows dizinlerine kopyalanarak gerçekleşir. Çoğalma işinin yanında çoğu solucanlar asıl zararlı fonksiyona sahip başka bir virüsü de içerirler. Melissa ve Loveletter gibi bilinen makro ve skript virüsleri solucan olarak da yayılırlar. Yani solucanlar kendi içinde çalıştırılabilir kodlar taşırlar.
Solucanların yayılmasın da eksik güvenlik önlemleri mevcuttur örneğin; şifresiz sürücü paylaşımları veya güvenlik açıkları olan eski yazılımları kullanmak vb.
4.5.3.1. Wormslara karşı alınabilecek önlemler
v Güncel anti-virüs yazılımları kullanılmalıdır.
v Windows sürücüleri etkili bir şifre koruması ile paylaşıma açılmalıdır.
v Her zaman bir internet programının en güncel sürümünü kullanın.
v En yeni Outlook güvenlik yamasını kurun. [24, 28, 33, 34, 36]
4.5.4. Backdoor (Arka kapı)
Backdoor sistem için tehlikeli arka kapılar anlamına gelmektedir. Backdoorlar kullanıcının sitemine gizlice giren ve kullanıcının haberi olmadan bağlantı kuran programlardır. İnternet üzerinden, bu elektronik arka kapıdan hedef bilgisayara bağlanılıp kullanıcının neler yaptığı takip edebiliyor, dosyaları silebiliyor, programları çalıştırabiliyor hatta tüm sabit diski formatlayabiliyor. Backdoor trojanların bir alt türüdür denilebilir. Bir backdoor çoğunlukla faydalı bir program şeklinde gelmekte veya yayılmak için bir worm (solucan) mekanizması kullanmaktadırlar.
4.5.4.1. Backdoorlara karşı alınabilcek önlemler
v Güncel anti-virüs yazılımları kullanılmalıdır.
v Çoklu uzantısı olan dosyaları asla açılmamalıdır. Örneğin resim.bmp.exe gibi
v İnternetten gelen erişimleri bloke eden bir Personal Firewall kullanılmalıdır.[28, 33, 34, 36]
5. ŞİFRELEME VE ELEKTRONİK TİCARET
5.1. Şifreleme (Kriptoloji) Nedir?
Yunanca kryptos logos (Gizli kelime) tamlamasından gelen Kriptoloji, toplumda bir haberleşmenin gizli tutulabilmesi için üzerinde çalışan bilim olarak düşünülebilir. Ama kriptolojinin anlamı daha geniştir. Kriptoloji kriptografiyi ve kriptoanalizi içermektedir. Kriptografi, çözülebilmesi çok zor matematik problemleri ve mekanizmaları inceler. Kriptoanaliz ise bu tür problemleri ve mekanizmaları çözmeyi hedefler ve bu doğrultuda saldırıları belirler.
Tehdit altında olan veri güvenliğine yardımcı olacak en güçlü araç kriptoğrafi (şifreleme teknikleri) olacaktır. Kriptoğrafi bilgilerin gizlenmesi için uygulanan teknikleri kullanan bilim dalıdır. Derin olarak matematik ile ilişkilidir.
Kriptoloji tarihte de çeşitli zamanlarda kullanılmıştır. İlk kripto tekniklerini Sezar’ın kullandığı iddia edilir. Sezar, gizli bir mesaj göndermek için harfleri belirli bir sayıda ileri veya geri alarak mesajlarını gizlemeyi başarmıştır. Örneğin A yerine D, B yerine E gibi. Böylece EDED diye gördüğümüz mesaj aslında BABA anlamına gelir. Doğal olarak bu çok basit bir şifreleme tekniğidir. Yerine koyma (substitution) yöntemi olarak bilinir.
Bu yöntemin biraz daha karışığı harfleri belirli bir kaydırma yerine karmaşık olarak eşleştirerek yapılır. Örneğin, A yerine X, B yerine G gibi, yani BABA kelimesi GXGX’e dönüşecektir. Önceki yöntemde bir harfi çözdüğümüzde tüm şifreyi çözerken, bu yöntem için biraz daha fazla uğraşmamız gerekecektir ama yine de çok kolay kırılır. Bu yönteme Tek Alfabe Yerine Koyma yöntemi denir (Mono alphabetic Substitution) Tekniklerimizi biraz daha geliştirdiğimizde Çoklu Alfabe Yerine Koyma yöntemine erişiriz.
Örneğin şöyle bir söz dizimi yazar isek
ABCDEFGHIJKLMNOPQRSTUVWXYZ
1: NOPQRSDEXYZFGHIJKLMTABCUVW
2: DEXHIJKYZFTABCUVWGNOPQRSLM
3: DEXYZNOPQRSFGTABCHIJKLMUVW
BABA mesajımız ODEL haline dönüşecektir, B ve A harfleri tekrar bile etse her seferinde farklı harflere karşılık gelecektir.
Görüldüğü gibi yöntemler bu şekilde gittikçe geliştirilebilir, şifrenin kırılması zorlaşır. Uyguladığımız yönteme şifreleme algoritması denir.
Bu yöntemin biraz daha gelişmişi olan ENİGMA şifresi ikinci dünya savaşı sırasında Almanlar tarafından efektif olarak kullanılmıştır. Yerine koyma işlemleri, dişliler ve elektrik kontakları ile yapılmış. Almanlar gemilerine, denizaltılarına ve birliklerine mesajları ENİGMA ile göndermişler. Savaşın sonuna doğru ENİGMA İngilizler tarafından çözülmüş ve bundan habersiz Almanlar büyük bir darbe yemiştir.
UNIX sistemlerinden birçoğunda hala ENİGMA temel alınarak yapılmış Crypt fonksiyonu ile kullanıcı şifreleri üretilmektedir. Bu şifreler kolaylıkla kırılabilir. [26,39]
Zaman içinde bu tür yerine koyma ve karıştırma şifreleri gelişmiş ve bugün bile kullanılan standart şifre sistemlerinin temelini oluşturmuştur. DES böyle bir şifre sistemidir.
Şifreleme (Encryption), Veri paketini bir anahtarla şifrelemeye verilen addır. Hedef, veriyi gerekli anahtar olmadan çözülebilmesi imkansıza mümkün olduğunca yakın şekilde kodlamaktır. Şifre Çözme ise (Decryption) şifrelenmiş veriyi çözüp eski haline getirme işlemidir. Kriptolojide en çok kullanılan kelimelerden olan anahtar ise bir metni şifrelemekte veya açmakta kullanılan veri parçasına (sayı, kelime veya herhangi bir sayısal veri parçası)verilen isimdir.
İki tür kripto sistemi tanımlanmıştır. Birincisi gizli anahtarlı simetrik kripto sistemleri; bu sistemlerde haberleşen taraflarda sadece iki tarafın bildiği bir gizli anahtar bulunur. Mesela, A (Ayşe) ve B (Bora) bu tür bir şifreleme metodu kullanarak haberleşeceği zaman önce ortak ve gizli bir anahtar seçerler, A, B'ye mesaj göndereceği zaman mesajı bu ortak gizli anahtarla şifreler ve B'de aynı anahtarla mesajı çözüp okur. DES, IDEA, RC5, CAST, BLOWFISH, 3DES en çok kullanılan ve bilinen gizli anahtarlı kripto sistemleridir. Bu sistemlerin avantajı hızı, dezavantajı ise ortak anahtarların belirlenmesi ve taraflara iletilmesindeki zorluktur.
İkinci metot açık anahtarlı asimetrik kripto sistemleridir. Bu sistemlerde iki taraf da ikişer anahtara sahiptir. anahtarlarından biri gizlidir, kendisinden başka hiç kimse bilmez, açık anahtarları ise haberleştiği herkes tarafından bilinir. Açık anahtar kolayca bulunabilirken, gizli anahtar kişinin bilgisayarında saklıdır. Açık anahtarı mesajları şifreler ama onun şifrelediği mesajları sadece gizli anahtar deşifre eder. Eğer birisi size mesaj yollamak isterse, örneğin, sizin açık anahtarınız ile bunu şifreler. Ama yalnızca siz, o gizli anahtarınız ile bu mesajı deşifre edip okuyabilirsiniz. Sizin açık anahtarınız onu edemez.
Örneğin Ayşe ve Bora bir açık anahtar sistemi ile haberleşeceği zaman, önce Ayşe Bora'nın açık anahtarını kullanarak mesajını şifreler. Bora da gelen mesajı kendi gizli anahtarını kullanarak açar. Gizli anahtarı yalnızca Bora bildiği için mesajı da yalnızca Bora okuyabilir. Ayşe hiçbir zaman Bora'nın gizli anahtarını bilmez ve ihtiyaç duymaz. açık anahtarlı haberleşmenin avantajı gizli anahtarları iki tarafın bilmemesi, dolayısıyla gizli anahtarlı kripto sistemindeki anahtar iletimi probleminin olmayışıdır. Ancak açık anahtarlı kripto algoritmaları gizli anahtarlılara göre 10-100 kat daha yavaştır. En iyi bilinen Açık anahtar algoritması RSA'dır.
Bu iki sistemin avantaj ve dezavantajları , iki sistemin de beraber kullanıldığı hibrit sistemleri ortaya çıkarmıştır. bunlardan en popüleri de kodu açık olan ve bedava dağıtılan PGP (Pretty Good Privacy) sistemidir. PGP kullanarak haberleşen Ayşe ve Bora'nın mesajlarının nasıl işlendiğine bakalım. Ayşe her mesajı için farklı bir gizli anahtar üretir, bu rastgele yapılan fare ve klavye hareketleri ile belirlenir. Öncelikle Ayşe'nin mesajı sıkıştırılır, oluşturulmuş gizli anahtarla kriptolanır. Daha sonra bu anahtar Bora'nın açık anahtarı ile şifrelenip mesaja iliştirilir. Bora, kendisine gelen mesajdaki şifreli anahtarı kendi gizli anahtarı ile açar, açılan anahtarla da mesajın geri kalan kısmını çözmektedir. [24, 37]
5.1.1. DES(Data encryption standart)
DES Data Encryptiobn Standart’ın ( Veri Şifreleme Standardı ) kısaltmasıdır.
1960’ların sonunda IBM’de çalışan bir araştırmacı olan Horst Feistel başkanlığındaki bir grup LUCIFER adı verilen bir şifreleme sistemi geliştirmiştir. 1973 yılında ABD standartlar enstitüsü NIST sivil kullanım için bir standart saptamak için firmaları davet etti. Yapılan incelemeler sonucu amaca en yakın çözüm LUCFIFER bulundu. 128 bitlik bir şifre anahtarına sahip LUCIFER üzerinde çalışan ABD güvenlik teşkilatı (NSA) uzmanları bazı düzenlemeler yaptılar ve anahtar uzunluğunu 56 bit’e indirdiler. Bu yeni algoritma 1977 yılında DES Data Encryption Standart olarak yayınlandı ve kısa bir süre içinde başta finans endüstrisi olmak üzere birçok alanda de facto standart halinde kullanıma alındı.
DES klasik şifreleme sistemleri içinde efsanevi bir yere sahiptir ve bugün bile VISA, MASTERCARD, BKM, v.s. tüm kart sistemlerinin şifreleme omurgasını oluşturmaktadır. DES karıştırma, yerine koyma işlemlerini son derece dikkatli ve sistematik olarak yapacak şekilde tasarlanmıştır. Bunun yanı sıra en küçük değişikliğin, çok büyük farklar yarattığı çığ etkisi (avalanche effect) bulunmaktadır. Yani tek bir bitlik bir değişiklik bile sonucu tamamen değiştirmekte ve değişiklikler önceden tahmin edilememektedir.
DES algoritmalarında şifre sistemlerinin güvenliğini şifre anahtarlığının uzunluğu belirlemektedir. Genel olarak belirli bir yönteme de 10 yıl ömür biçilmektedir. DES 1999 yılı itibariyle 22 yaşındadır ve ömrü birkaç uzatılmıştır. Artık yeteri derecede güvenli değildir. Birçok batı ülkesinin güvenlik servislerinin bilgi işlem kapasitesi DES şifrelerini birkaç dakika içinde kırabilecek düzeye gelmiştir. Bunun da ötesinde amatör şifre kırıcılar aranacak anahtar dilimini onbinlerce PC’ye bölerek internet üzerinden dağıtmakta ve aynı anda onbinlerce PC çalışarak birkaç gün sonra sonuca erişebilmektedir. Bakılacak şifre adedi 256 adettir. Bu bir PC için çok büyük bir görevdir ama onbinlerce PC veya çok güçlü bilgisayarlar aranan bilgiyi kısa bir sürede bulabilirler.
DES algoritması gizli anahtar yöntemini kullanan simetrik bir kriptodur. Yani her iki tarafta aynı anahtarları bilmek zorundadır. BKM + 40 BANKA veya VISA + binlerce banka için zorda olsa uygulanabilir bir sistemdir. Ama anahtarları gizlemenin ve dağıtmanın zorluğu uygulamayı kısıtlamaktadır.
Aynı anahtar hem şifrelemeye, hem de çözmeye yarar yani şifreleyen algoritmaya şifreli bilgi verilip aynı anahtar kullanılarak algoritma tersten işletildiğinde şifre çözülür.
DES standardının nasıl işlediğini adım adım inceleyecek olursak;
0’lar ve 1’ler bütün bilgisayarlar için ortaktır. DES, bitler üzerinde yani ikilik taban üzerinde 64 bitlik mesaj grupları ile çalışır. Bu, 16’lık tabandaki 16 sayıya karşılık gelir. DES kriptografinin gerçekleşmesi için key yani anahtar denen 64 bitlik bir grup daha kullanır. Ancak bu 64 bitlik grupta her 8. bit gözardı edilir yani etkin bir anahtar uzunluğu 56 bittir. Ama her durumda 64 bitlik gruplar esastır ve DES’in temelini oluşturur. DES’in temel prensibini ve en büyük avantajını oluşturan şey anahtar yapısıdır. Örnek olarak düz yazıyla yazılmış 8787878787878787 mesajını ele alalım ve bunu 0E329232EA6D0D73 anahtarıyla kripte edersek elimize “000000000000000” şeklinde bir mesaj artığı çıkar. Eğer mesaj artığımızı tekrar gizli 0E329232EA6D0D73 anahtarıyla kripto edersek orijinal düz yazımızı yani 8787878787878787 yi elde ederiz. Bu örneğimiz uygun ve düzgündür çünkü kullandığımız mesaj tam olarak 64 bit uzunluğundadır, eğer mesajımızın uzunluğu 64 bitin katı olsaydı yine işler düzgün gidecekti. Ancak çoğu durumda işler bu kadar yolunda gitmez. Bu gibi durumlarda şu yolu kullanırız. Mesajımız “1234” olsun. Bu mesaj 4 bytedan oluşmaktadır (4 tane 8 bit ve 32 yani 64’ün katı değil!). Mesajımızın encrypted hali; "596F7572206C6970" şeklindedir. Bu örnekte mesaj uzunluğu sonlara 0’lar eklenerek 64 bitin bir katına tamamlanmıştır.
5.1.1.2. DES şifresini çözmek
Bilginin güvenliği amacıyla kullanılan DES algoritmasının ilk çıktığı yıllarda Amerikan Ulusal Standardı (ASCII) seçilmeden önce DES’in başarısıyla ortaya çıktı. Başka bir kripto algoritmasının yazarları olan Martin Hellman ve Whitman Diffie DES’e inanmadıklarını söylüyorlardı. Hellman NBS’ye (Amerikan Ulusal Standartlar Teşkilatı) yazdığı mektupta, DES’in sanıldığı kadar güvenli olmadığını ve akıllı bir organizasyonun DES’i kırılabileceğini iddia etmiştir.
Bundan sonra Diffie ve Hellman DES’e karşı bir brute-force bir saldırı başlattı (Brute Force kavramı yaklaşık Türkçe`deki deneme yanılma kavramına karşılık gelmektedir. Buradaki uygulanışı 256 tane anahtarı tek tek deneyerek orijinal mesajı elde etmeye çalışmaktır.) Diffie ve Hellman bu özel amaç için birbirine bağlı çalışan bir milyon çipi olan ve saniyede 1 milyon anahtar deneyebilen bir bilgisayar kullandılar ve böyle bir makinenin maliyeti 20 milyon dolardı.
1998`e dönelim. FBI’dan John Gilmore liderliğinde bir ekip 220.000 dolar harcadı ve bütün olası DES anahtarlarını 4,5 günde deneyebilen bir sistem kurdu.17 Temmuz 1998’de bir DES mesajını 56 saatte açabildiklerini açıkladılar. Bunu yaparken “Deep Crack” adını verdikleri ve her biri 64 işlemciden oluşan 27 kartı kullanan ve saniyede 90 milyar anahtar test edebilen bir bilgisayarı kullandılar. Bunun üzerine FBI, DES’i kırabilme gücüne sahip olduğunu açıkladı. Bunun üzerine kriptografi uzmanı Bruce Schneier şöyle cevap vermektedir.
“FBI bu konuda yetersiz ve yalan söylüyor. FBI’ın bu iddiasına karşı kullanılacak çok basit ve etkili çözüm daha uzun bir anahtar seçmektir. Bu galakside üçlü DES’i deneyerek bulmamıza yetecek kadar silikon yoktur” demektedir.
3DES veya Triple DES, standart DES’in 112 veya 168 bitlik iki veya üç anahtar ile ard arda çalıştırılması ile oluşturulan bir şifreleme tekniğidir. Anahtar alanı 2112 veya 2168 sayısına ulaşınca bugün için veya tahmin edilebilir bir gelecekte çözülmesi mümkün olmayan bir kod olmaktadır.
Buna strong crypto denilir, en güçlü teknik güç olan ABD’nin bile çözmesi mümkün değildir.
Bu nedenle kullanımı ve yayılması sınırlanmak istenmektedir. ABD ve birçok batı ülkesi 40 bitten daha güçlü kripto sistemlerin ihracını kısıtlamaktadır. 40 bit, birkaç saniyede ABD güvenlik kurumu NSA tarafından çözülebilmektedir ve böylece realtime dinlemeyi olanaklı kılmaktadır. 56 bit bile bugün için belirli bir süre gerektirmektedir. Şüphesiz anında çözebilecek güçte bazı sistemler vardır ama sayısı sınırlıdır ve maliyeti yüksektir. Bu nedenle bu gücün ciddi işlere tahsis edilebilmesi için 40 bit üzeri şifreler kısıtlanmaktadır. Türkiye’de bankalara verildiği söylenen 128 bit gücündeki sistemler, sözde SET ile çalışan siteler, v.s. hepsi bir aldatmacadır. Bu sistemlerdeki tüm şifrelerin anası firmalar tarafından NSA’ye teslim edilmektedir. NSA istediği bankanın bilgisayarına girerek kendi şifresiyle istediği şifre anahtarını çekebilmektedir. Başka türlü bir firmanın ABD’den ihracat izni alması mümkün değildir.
Türkiye’de 128-bit şifreleme ile çalıştığını iddia eden veya SET olduğunu öne süren tüm siteler 40-bit SSL ile çalışmaktadır, yapılan iddialar tümüyle gerçek dışı veya sanaldır. Bunu ilgili siteye bağlandığınızda çıkan kapalı anahtar üzerine tıklayarak görebilirsiniz. [24, 37, 38]
5.1.2. RSA (Public key cryptography)
Yukarıda anlattığımız DES algoritması aynı gizli anahtarı paylaşan iki unsurun şifreli iletişimi sağlayan bir yöntemdir. Ancak iletişim kurulan kişiler artınca anahtar yaratılması ve dağıtımı problem olmaya başlar. Örneğin bankanızın 100.000 mudisi ile DES kullanarak şifreli işlem yapmaya karar verdiğini düşünelim, bu durumda her biri 100 key saklayabilen 1000 tane HSM gerekli olacaktır, bunun ötesinde kullanıcılara anahtarlar nasıl dağıtılacaktır, onlar nasıl saklayacaklar, v.s. ve proje içinden çıkması olanaksız bir hal almaktadır.
1974 yılında Diffie-Helman tarafından bulunan Kamuya Açık Anahtarlı kripto yöntemini kullanan (public key cryptography) Rivest-Shamir-Adleman, RSA adını verdikleri bir algoritmayla devrim yarattılar. Görünüşte son derece basit matematiksel ilişkilerle çalışan bu yöntem de iki ayrı anahtar bulunmaktadır. Anahtarlardan birisi kamuya açık, birisi de gizlidir. Herkes açık anahtarını yayınlar ve kendisine şifreli bir mesaj göndermek isteyen birisi bu anahtarı kullanarak mesajı şifreler ve gönderir. Ancak mesajı sadece gizli anahtar kimde ise o çözebilir. Gizli anahtar da sadece sahibin de bulunur. Böylece, herkes çözüm için gerekli anahtarı bilmeden, güçlü bir şifreyle mesajları gizleyebilir.
Bu konuyu şöyle anlatabiliriz. Daha önce hiç karşılaşmamış, birbirini tanımayan kişiler bile birbirlerine gizli mesajlar gönderebilir. Örneğin internetten alışveriş yapan birisi, kendisini hiçbir şekilde tanımayan bir web sitesine giderek, sitenin kamuya açık anahtarını alır, kart numarasını bu anahtarla şifreleyerek gönderir. Şifreli bilgiyi gönderen dahil hiç kimse çözemez, sadece web sitesinde bulunan gizli anahtarla gelen kart numarasını web sitesi çözebilir. Böylece kart hamili kart numarasının başkası tarafından okunmayacağından emin olacaktır. Ama, acaba web sitesi gerçekten dürüst bir satıcı mı, yoksa sahte bir site mi ? Bundan emin olamayacaktır, ancak bunun da çözümü Sertifika yöntemiyle sağlanmaktadır. Bu yöntem elektronik ticarette güvenlik kısmında detaylı olarak anlatılacaktır.
RSA yöntemini anlamak için küçük bir örnek faydalı olacaktır:
Şifreleme formülü,
C = Me MOD n
Çözme formülü M = Cd MOD n buradaki MOD işlevi bir bölme işlemi sonunda kalan anlamına gelir.
Örneğin;
5/2 işlemi bölme= 2, kalan 1’dir. Yani, 5 = 4 + 1 = 2 x 2 + 1 şeklinde ifade edildiğinde tam bölünemediği için son bölünebilen miktar 2, artan ya da kalan 1’dir.
Örneğin;
C = 123 MOD 17 = 1728 MOD 17= ( 101 x 17 + 11 ) MOD 17= ( 1717 + 11 ) MOD 17 = 11
RSA, algoritması şöyle çalışır. Önce iki adet asal sayı p ve q bulunur. Gerçek uygulamada bu sayıların çok büyük olması, örneğin 100 ila 200 hane olması gerekir. Basit bu örnekte ise p=7, q=19 olursa p = 11
q = 17
n = p q = 11 x 17= 187
m = (p-1)(q-1)
0 x 16
160 bu aşama da uygun bir şifreleme anahtarı e seçmemiz gerekir. Bu herhangi bir asal sayı ( 3, 7, 11,.43...vs ) olabilir. Tek dikkat etmeniz gereken m sayısına görece asal olmalıdır. Yani e sayısı m sayısının bir çarpanı olmamalıdır. Örneğin 5 olamaz, çünkü 5 . 32 = 160’dır..Ama 3 olabilir, 160, 3’e tam bölünemez. Böylece, e = 3, sayısını bulduktan sonra çözüm anahtarı d şu formülle bulunur. d = 1/e mod m = 1/3 mod 160= 107 Bu aşamada artık p ve q sayılarını yok edebiliriz. Kamuya şifreleme anahtarı e, n olarak açıklanır. Açık anahtar = { 3, 187), gizli anahtar ise d = 107 gizlenir ve kimseye söylenmez.
Şimdi artık web sitesinde kredi kartlarını kabul etmeye hazır olunur, ve ilk müşterinin kart numarasını ( 4123 4569 7890 1236 ) şu şekilde şifreler:
C = 413 mod 187|233 mod 187|453 mod 187|693 mod 187|783 mod 187|903 mod 187|123 mod 187|363 mod 187=105 | 12 | 56 | 377 | 133 | 74 | 45 | 93 ve bize 105:012:056:377:133:074:045:093 olarak kart numarasını gönderir. Gördüğünüz gibi 4123456978901236 numaralı kart 105012056377133074045093 olmuştur.
Bu web sitesi, gizli 107 şifre anahtarını çıkarır ve gelen kart numarasını çözer. M = 105107 mod 187|12107 mod 187|56107 mod 187|377107 mod 187|133107 mod 187|74107 mod 187|45107 mod 187|93107 mod 187 = 41 | 23 | 45 | 69 | 78 | 90 | 12 | 36 Tabii buna inanmak için önce 105107 sayısını hesaplayabilmemiz ve bu sayıyı 187’ye bölerek kalanını bulabilmemiz gerekir. Bunu yaptığımızda yukarıdaki dönüşümün gerçekleştiğini görebiliriz.
Bu örnek çok basit bir örnektir, gerçek hayatta ise p ve q sayılarının 100 haneden fazla, n sayısının da onbin haneden fazla olması gerektiğini bilinmesi gerekir. Dolayısı ile RSA algoritması DES ile karşılaştırıldığında 1000 misli yavaş çalışır. Buna karşı sağladığı avantajlar açıktır.
RSA algoritmasının gücü iki çok büyük asal sayının çarpanlarının (faktörleri) bulunmasının zorluğudur. Bu örneğimizdeki 187 sayısının çarpanlarını çok basit bir algoritma ile bile, örneğin 1’den 187’ye kadar olası tüm sayıları tek, tek çarparak bulmamız mümkündür. Bu işlem bir saniye bile sürmeyecektir. Yani 187’nin çarpanları 11 ve 17 bulunduğu anda aynı formüllerle RSA şifresi kırılabilecektir. Ancak çok büyük sayılarda çarpanları bulmak imkansızlaşmaktadır.
Bugün itibariyle gelinen nokta 512 bitlik RSA anahtarları kırılabilmektedir. Bunun için 3000 adet hızlı bilgisayarın, 3 ay çalışması gerekmektedir. Bu nedenle çok gizli işler için 1024, askeri sırlar için ise 2048 bit gerekmektedir.
Bu noktada dikkat edilmesi gereken nokta RSA gibi kamuya açık algoritmaların anahtar uzunluğu ile DES gibi simetrik kriptoların anahtar uzunluklarının farkıdır. RSA için kullanılan 1024 bit karşılığı olarak 112 bit DES yeterli olmaktadır. RSA anahtarları uzadıkça işlem süresi çok artmaktadır. Özellikle çözüm işlemi çok yavaşlamaktadır. Şifrelemek için 3. kuvvete yükseltirken, çözmek için yüzlerce, binlerce haneli bir kuvvete yükseltmek gerekmektedir. Bu hem bellek, hem de zaman gerektirmektedir. SET sisteminin kullanılmayacak derecede yavaş olması bu işlem tekrar, tekrar bir sürü aşamada yapmaya çalışmasıdır. Oysa SSL bunu bir kez başlangıçta yapmaktadır. [24]
5.1.3. PGP (Pretty good privacy)
PGP tamamen Phil Zimmerman tarafından oluşturulmuş bir yazılımdır. Temel olarak
dosya bazında işlem yapan bir şifreleme ve sayısal imzalama programıdır. E-posta gönderme özelliği yoktur. Sadece E-posta olarak gönderilebilir halde dosyalar oluşturur. Değişik platformlarda (MS-DOS, UNIX, Macintosh, Atari, Amiga, OS/2, VMS) çalışabilmektedir.
PGP şu anda dünyada kullanılan en yaygın E-posta şifreleme programıdır. PGP güçlü şifreleme algoritmaları içerdiğinden, ABD gümrük kurallarına göre ABD dışına çıkartılması yasak bir üründür. Ancak, henüz bilinmeyen bir şekilde ABD dışına çıkmıştır.
PGP, RSA ve IDEA adlı iki patentli şifreleme algoritması kullanmaktadır. RSA'nın patenti ABD dışında geçerli değildir. Ancak IDEA'nın patenti Ascom-Tech AG isimli bir İsviçreli şirkete aittir. ABD ve Kanada dışındaki ülkelerde, bu şirketten IDEA lisansı alarak ticari olarak PGP'yi kullanmak mümkündür.
PGP mesaj şifreleme ve imzalama özelliklerinin yanısıra açık ve gizli anahtarlarla ilgili işlemler de yapabilmektedir.
5.1.3.1. Şifreleme ve imzalama
PGP, temel olarak Rivest, Shamir ve Adleman tarafından geliştirilen RSA açık anahtar şifreleme algoritmasına dayanır. Ancak PGP, RSA'nın performansının diğer özel anahtar tabanlı şifreleme algoritmalarına göre düşük olması nedeniyle, mesaj şifrelerken IDEA özel anahtar algoritmasını kullanır. Bu şifrelemede kullanılan 128 bitlik anahtar ise RSA kullanılarak şifrelenir ve mesaj paketinin başına eklenir. IDEA'nin kullandığı 128 bitlik bu oturum anahtarı rasgele yaratılır ve sadece bir kere kullanılır. Mesaj imzalanırken ise mesajın tümü değil 128 bitlik bir özü (hash algoritmaları) imzalanır ve bu imza mesaj paketine konur. [40, 41]
5.1.3.2. HASH algoritmaları (SHA, MD5)
HASH’i süper bir check digit olarak görebiliriz. Basit bir aritmetik formülle hesaplanan check digit tek bir haneyle önceki 15 haneyi doğrularken, SHA ve MD5 gibi algoritmalar yaklaşık 40 haneli sayılar üreterek bütün bir dokümanı doğrulayabilmektedir. Örneğin tapu senedinizin bir tarayıcı ile tarandığını ve bir .BMP dosyası haline dönüştüğünü düşündüğümüzde. Örneğin 2019 yılında gittiğimiz Beşiktaş 17.noteri bu .BMP dosyasını MD5 hash algoritmasından geçirecek ve 40 haneli bir sayı bulacaktır. Daha sonra bu sayıyı kendi gizli anahtarını kullanarak, ardına sizin adımızı ve MERNİS numaramızı ekleyecek, RSA ile şifreleyecek size 180 haneli bir sayı verecek, bu sayıyı smartcarda yüklenip işlem bitecektir. Herhangi bir anda artık kağıt tapuyu değil, bu .BMP dosyasını internet üzerinden gönderecek ve 180 haneli sayıyı eklenebilinecektir. Alıcı Beşiktaş 19.noterinin web sitesine girecek ve onun kamuya açık anahtarını alınacaktır. 2019 yılına kadar artık sayıları binlerce haneli sayılara yükseltme ve milyonlara bölerek kalanını yapmak artık bilindiği için, daha doğrusu bunu cebimizdeki smartcard artık bildiği için ekrana kişinin adı, soyadı, MERNİS numarası ve taranmış belgenin MD5 hash kodu gelecektir. Arka plandaki Java programı ekrana gelen .BMP dosyasının MD5 hash kodunu birkez daha hesaplayarak karşılaştıracak. Dokümanın doğruluğu ispatlanacaktır. [24]
PGP'nin başka bir özelliği ise mesajı şifrelemeden önce ZIP yöntemiyle sıkıştırmasıdır. Bu şekilde, hem saklama alanından, hem de bant genişliğinden tasarruf sağlanmış olur. Sıkıştırmanın diğer bir yararı ise harflerin sıklığını kullanan şifre çözümleyici ataklara karşı şifreyi koruyabilmesidir.
PGP, şifrelenmiş mesajı ve sayısal imzayı aynı pakete koyabildiği gibi ayrı ayrı şifrelenmiş mesaj ve imza da üretebilmektedir. Hatta istenirse sadece mesaj şifreleme veya sadece sayısal imzalama da yapabilir. Sadece imzalama modunda sıkıştırma yapıp yapmaması kullanıcıya bağlıdır. Sıkıştırma yapıldığında, sadece PGP kullanıcıları mesajı açabildiğinden, herkesin okuyabilmesi için haber gruplarına veya E-posta listelerine gönderilen imzalı E-postalarda mesajın açık (şifresiz ve sıkıştırmadan) gitmesi tercih edilmektedir. Bu durumda, imza mesajın sonuna eklenmektedir.
E-posta haberleşmesinin başka bir güvenlik tehdidi ise, şifrelenmiş ve imzalanmış bile olsa bir mesajın internet dinlenerek kopyalanması ve daha sonraki bir zamanda tekrar alıcıya gönderilmesidir. Böyle bir durumda mesajın üzerindeki şifre ve imza doğru olduğu için, alıcı mesajın gönderenden geldiğini zannedebilir. Bu sorunu çözmek için imzanın ve şifrelenmiş mesajın başına zaman damgaları (time stamp) konmaktadır. Böylelikle, alıcı mesajın ve imzanın ne zaman gönderildiğinden emin olmaktadır.
PGP'de eğer bir mesaj hem imzalanıp hem de şifrelenecekse, önce gönderenin gizli anahtarı ile mesajın özü imzalanmakta, sonra mesaj ile imza birlikte sıkıştırılmakta, daha sonra da şifrelenmektedir. Bu şifrelemede kullanılan IDEA oturum anahtarı ise alıcının açık anahtarı ile şifrelendikten sonra paketin başına konmaktadır. ASCII formatına çevriliş ise bu eklemeden sonra yapılmaktadır. Alıcı tarafındaki PGP programı şifrelenmiş ve imzalanmış bir mesajı aldığında, önce ASCII formatından ikili formata çevirmektedir. Daha sonra, kendi gizli anahtarını kullanarak IDEA oturum anahtarını çözerek ve imza ile birlikte mesajı ortaya çıkarmaktadır. Artık, açık mesaj alıcının eline geçmektedir. PGP, imzayı doğrulamak için ise E-posta ile gelen imzaya gönderenin açık anahtarını kullanarak RSA algoritmasını uygular. Sonuçta ortaya çıkan mesajın özü olmalıdır. Bu kontrolü de gerçek mesajın özünü bularak yapar. Bu iki öz birbirinin aynı ise mesaj üzerindeki imza doğrudur. PGP, şifreleme ve imzalamanın yanısıra açık ve gizli anahtarla ilgili işlemler de yapmaktadır.
5.1.3.3. Anahtar işlemleri
PGP kullanarak RSA anahtarları yaratmak mümkündür. Bu şekilde gizli anahtar ve ona karşılık gelen açık anahtar yaratılır. RSA anahtarlarının boyu kullanıcının güvenlik gereksinimine bağlı olarak 512 ile 2048 bit arasında değişebilir. O yüzden, gizli anahtarları ezberlemek ve her gerektiğinde klavyeyi kullanarak girmek neredeyse imkansızdır. O yüzden, PGP'de gizli anahtarlar şifrelenerek bir dosyada saklanır ve gerektiğinde bu dosyadan okunarak işlem yapılır. Bu dosyanın adı secring.pgp'dir. Gizli anahtarı şifrelemek için IDEA algoritması kullanılır. Şifreleme anahtarı 128 bit uzunluğundadır. Şifre çözücü ataklara karşı koyabilmek için bu şifre cümlenin mümkün olduğunca uzun ve anlamsız olması önerilir. Gizli anahtarın ele geçirilmesini önleyecek diğer bir önlem ise, secring.pgp dosyasının sabit disk üzerinde değil de taşınabilir disketler üzerinde tutulması ve bu disketin sıkı bir şekilde korunmasıdır. Kullanıcı isterse birden fazla gizli anahtar yaratıp şifreleyerek secring.pgp dosyası içinde saklayabilir. PGP'de bir gizli anahtarı secring.pgp'den silmek de mümkündür.
PGP, açık anahtarları pubring.pgp isimli bir dosyada saklar. Açık anahtarlarla ilgili tek sorun yanlış açık anahtar sorunudur. Gönderenin veya alıcının şifreleme ve imza kontrollerinde yanlış açık anahtar kullanmaları yanlış sonuçlara sebep olabilir. PGP bu sorunu aşmak için açık anahtar imzalama (public key signatures), başka bir deyişle kefalet (certification) mekanizmasını kullanır. Aslında en iyi açık anahtar edinme yolu sahibinden doğrudan edinmektir. Bu şekilde elde edilen açık anahtarlar kullanıcı tarafından imzalanarak pubring.pgp dosyasına kaydedilir. Bunun imkansız olduğu durumlarda ise kefalet (açık anahtar imzalama) yöntemi kullanılır. Kefalet, bir açık anahtarın doğruluğuna bir başkasının verdiği garantidir. Bu garanti, açık anahtar ve sahibinin kimliğinden oluşan bir bilginin kefaleti verenin gizli anahtarıyla imzalanması ile verilir.
Kefalet mekanizmasında, bir kullanıcının doğruluğuna güvenmediği bir açık anahtarı çekinmeden kullanabilmesi için ortakça tanınan ve güvenilen bir veya birkaç kişinin, ya doğrudan ya da hiyerarşik bir düzende birkaç seviyede geçişli olarak, sözkonusu açık anahtarı imzalayarak kefalet vermesi gerekir.
PGP, pubring.pgp üzerinde herhangi bir açık anahtarı silme, güven durumunu kontrol edip parametrelerini değiştirme, geçici olarak devre dışı bırakma, bir dosya olarak kaydetme, üzerindeki imzaları listeleme özelliklerine de sahiptir. Bundan başka, kullanıcı PGP kullanarak herhangi bir açık anahtarı imzalayabilir veya imzasını silebilir. PGP, pubring.pgp'deki açık anahtarları, üzerindeki imzaları ve güven durumlarını da listeleye-bilmektedir.
5.1.3.4. PGP ne kadar güvenli?
PGP'nin şu andaki en son uluslararası sürümü 2.6.3i sürümüdür. Şimdiye kadar bu sürümle ilgili güvenliği etkileyecek herhangi bir hata rapor edilmemiştir. PGP'nin güvenliği, temel olarak RSA ve IDEA algoritmalarının ne kadar güvenli olduğu ile ilgilidir. Her iki algoritma da geniş çevreler tarafından yeterli anahtar uzunluğu var olduğunda güvenli olarak nitelendirilen algoritmalardır. O yüzden, PGP şifreleme bilimi açısından tamamen güvenlidir. Yine de, PGP'nin güvenliğini artırmak ve işletim sisteminin hatalarından doğabilecek güvenlik gediklerini en aza indirmek için aşağıdaki önlemleri almak gereklidir.
Gizli anahtarın güvenliğini pekiştirmek için secring.pgp dosyası bilgisayarın sabit diski üzerinde bırakılmamalıdır. Bununla beraber, gizli anahtarı şifrelemek için kullanılan şifre cümlesi mümkün olduğunca uzun (128 karakter) ve anlamsız olmalı ve hiç bir yere kaydedilmemelidir. Yanlış açık anahtar kullanımını önlemek için ise kefalet kurallarına sıkı bir şekilde uyulmalıdır. Bunun mümkün olmadığı durumlarda ise güvensiz açık anahtarın MD5 kullanılarak çıkartılacak bir özünün E-posta dışı bir iletişim kanalıyla sahibinden doğrulanmasını istemek en uygun davranıştır. Bir açık anahtarın özünü çıkarmak için PGP kullanılabilir. Öte yandan, pubring.pgp dosyasının sabit disk üzerinde tutulmaması bu dosyanın yetkisiz kişilerce silinip değiştirilmesini önleyecektir. [24, 40, 41]
5.2. Elektronik Ticaret’te Güvenlik
5.2.1. Elektronik ticaret nedir?
Elektronik ticaret veya E-ticaret, doğrudan fiziksel bağlantı kurmaya ya da fiziksel değiş-tokuş işlemine gerek kalmadan, tarafların internet üzerinden satma veya satın alma hareketlerine denir.
E-ticaret yeni bir konu olmamakla beraber özellikle son 5 yılda büyük aşama kaydetmiş ve 21. Yüzyıl ekonomisini şekillendirecek temel etken olarak anılmaya başlanmıştır. E-ticaretin bu hızlı yükselişinde en büyük etken, bilgisayar teknolojisinin gelişimi sonucunda E-ticaret kavramının internet ile birlikte anılması olmuştur.
Bu nedenle E-ticarete altyapı hazırlayan internet, iletişim gibi sektörler de gelişen e-ticaretten karlı çıkmaktadırlar. E-ticaret, firma ve kişileri internete çekmektedir.
Özellikle günümüzde hemen hemen her web sitesi üzerinde sanal mağazalar veya sanal alışveriş merkezleri görmek mümkündür. Böyle olunca da herkesin E-ticareti anlam olarak neredeyse kredi kartıyla internet üzerinde yapılan işlemlere eşdeğer anlama getirilmektedir. Bu tanımlama hatalı bir anlam ifade etmektedir. Bu tür bir tanımlama E-ticaretin kapsamını oldukça daraltmaktadır. [39, 41-44]
5.2.2. Elektronik ticaretin çalışması
Online müşteri, internet üzerinden satıcının web sitesine girer. Burada bir ürün satın almak istediğine karar verir ve kendisi hakkında verdiği bütün bilgilerin şifrelendiği Online Transaction Servera yönlendirilir. Siparişini onayladığı anda, bilgiler net üzerinden özel bir geçiş yoluyla ödemeyi yapan veya ödemeyi teslim alan bankaların bu işlemi onayladıkları veya reddettikleri network işleme mekanizmasına ulaşır. Bütün bu işlemler 5-7 saniyeden fazla sürmez. Günde bir kaç sipariş alan satıcılardan, binlerce sipariş alan satıcılara kadar değişik ihtiyaçları karşılayacak şekilde farklı ödeme sistemleri vardır.
Şekil 5.1. Elektronik ticaretin çalışması
Elektronik Ticaret, internet üzerinde sunulan bilgi, ürün ve hizmetlere hemen hemen dünyanın her yerinden anında ve rahatlıkla erişim imkanı sağlamaktadır. v Elektronik Ticaret ’in 24 saat 7 gün çalışabilen altyapısı, iletişimi ve alışverişi kısıtlayıcı zaman problemini ortadan kaldırır.
v Elektronik Ticaret ‘in güvenilirliği istatistiklerle ispatlanmıştır. Gelişmekte olan yeni teknolojilerin güvenilirliği daha da kuvvetlendirmesi beklenmektedir.
v Elektronik Ticaret ’in altyapısı ile tüketicilerin tercihleri, alışkanlıkları ve demografik özellikleri takip edilebilir ve bu bilgiler kullanılarak ürün veya hizmet satın alanla, satan arasında "kişiye özel" ticari ilişki kurulabilir.
v Elektronik Ticaret evrenseldir. İnternet ile birlikte sınırlarda kalktığı için talebe göre hizmet kavramı arzu edilen düzeye erişmeye başlamıştır.
Elektronik ticarette satın alma yada satma anlamında terimlerden söz edilmektedir. Bu satma yada satın alma işlemlerinde her yerde olduğu gibi bir güvenlik sorunu ortaya çıkmaktadır. [21, 39, 42]
5.2.3. Elektronik ticarette güvenlik
Elektronik ticarette alıcı ve satıcı birbirlerini görmeksizin iş yaptıklarından karşılıklı olarak güvenin sağlanması için ek bir takım önlemler almaya ihtiyaç duyarlar. Öncelikle alıcı ve satıcı taraflar birbirlerinin kimliklerinden emin olmak isterler. İşte bu ihtiyaç dijital imza ve dijital sertifikaların geliştirilme nedenidir. Bunlar aracılığıyla iki taraf birbirlerinin kimliğinden emin olabilmektedir. Türkiye'de şu anda dijital sertifikalar ile ilgili yasal altyapı henüz oluşturulmadığı için alıcı tarafında bulunan bireysel kullanıcılar henüz dijital sertifika kullanmaya başlamamışlar, satış yapan siteler de müşterilerine bunu şart koşmamışlardır. Bu nedenle satıcılar alıcıların kimliklerini kontrol edememektedirler.
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek durumunda kaldıkları kredi kartı numarası, kimlik bilgileri vb. bilgilerin internet üzerinden iletilirken üçüncü şahısların eline geçmesi riskidir. Bilindiği gibi özellikle telefonla yapılan satışlarda (gazeteye ilan vermek, katalog satışları vb) kredi kartı numarası ve son kullanma tarihi alışveriş için yeterli olmaktadır. Bu yüzden bu bilgilerin korunması elektronik ticaretin gelişimi için büyük önem taşımaktadır.
Ancak elektronik ticarette kredi kartı bilgilerinin başkalarının eline geçme riski günlük hayattakine göre çok daha azdır. Günlük hayatta ödeme yaparken kredi kartı bir başkasına verilmekte, bu yüzden kredi kartının üzerindeki bilgilerin gizliliği büyük oranda ortadan kalkmaktadır. Sanal alışveriş hizmeti veren firmalar, kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak için yaygın olarak SSL (Secure Sockets Layer) ve SET (Secure Elektronic Transaction) gibi güvenlik standartlarını kullanmaktadırlar. Kullanıcı, firma ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek aktarılması esasına dayanan güvenlik sistemleri sayesinde bilgilerin başka bir kişinin eline geçmesi durumunda çözülebilmesi (yani kullanılabilmesi) önlenir. Böylece kart bilgilerinin gizliliği ve alışverişin güvenliği sağlanmış olur. [21, 39-44]
5.2.4. SSL (Secure sockets layer)
SSL (Güvenli bağlantı katmanı) ağ üzerindeki uygulamalarda güvenli bilgi aktarımının temini için (bilginin doğru kişiye güvenli olarak iletimi), Netscape firması tarafından güvenliği sağlamak için geliştirilmiş bir güvenlik protokolüdür. SSL protokolü ağ kullanıcısı ile browser arasında, yani iki uygulama arasındaki veri alışverişinde güvenliği sağlamak için kullanılan bir protokoldür. Bu protokolün kullanım alanı çok geniştir. 1996 yılında 3.0 versiyonunun çıkarılmasıyla hemen hemen bütün internet tarayıcılarının (Microsoft Explorer, Netscape Navigator vb) desteklediği bir standart haline gelmiş ve uygulama alanları genişlemiştir.
Kullandığınız tarayıcı (browser) ile bağlı olduğunuz sitenin web sunucusu arasında güvenlikli bilgi alışverişini sağlayan bir yöntemdir. Bir web sitesinde dolaştığınız veya bilgi girişi yaptığınız zaman, yaptığınız işlemlerin üçüncü şahıslar tarafından izlenme olasılığı vardır. Giriş yaptığınız kişisel bilgilerinize, kredi kartı numaranıza ve sizin için önemli diğer bilgilere, teknolojik açıdan son derece gelişkin olanaklara sahip diğer kullanıcılar tarafından ulaşılması ve bunların isteğiniz dışında kullanılması olanaksız değildir.
SSL güvenlik sistemi, yüksek güvenlik gerektiren sayfaları korumak için geliştirilmiş bir şifreleme yöntemidir. SSL güvenlik alanında gönderdiğiniz bilgiler, çok sıradan görünen, fakat çözülmesi imkansız olan bir kodlama sistemiyle şifrelenir ve diğer kişiler tarafından okunması imkansız bir bilgiye dönüştürülür. Bu bilgi ancak diğer uçtaki web sunucusu tarafından çözülüp anlamlı bir bilgi haline getirilebilir. SSL güvenlik alanının bu özellikleri sayesinde, herhangi bir kimse kamusal anahtara ulaşsa ya da bir şekilde işleme "sızma" şansını yakalamış olsa bile, asla şifreyi çözerek doğru bilgilere ulaşamayacaktır.
SSL güvenlik alanı sayesinde, girmiş olduğunuz sitenin gerçekten girmek istediğiniz site olduğundan da emin olabilirsiniz. Bir üçüncü kişi, girmek istediğiniz sitenin özel anahtarına bir şekilde ulaşmış ve yanlış bir kamusal anahtar üzerinden siteye erişim çabalarını yönlendirmiş olabilir. SSL, web sörfçülerinin ve sitelerinin kimliklerini tescil etmek gibi bir işleve de sahiptir. Sonuç olarak SSL kullanan bir sitede verilerin güvenli bir şekilde aktarıldığından tamamıyla emin olabilirsiniz. [45, 47-51]
5.2.4.1. SSL kullanan bir ağın konfigürasyonu
Ağ düzeyinde SSL protokolü TCP/IP katmanı (düşük düzey) ve HTTP yüksek derece protokol arasında yer alır. SSL HTTP ile çalışması düşünülerek tasarlanmış bir protokoldür. [46, 48, 49]
SSL protokolü verinin güvenliği ve bütünlüğünün bozulmasını önlemek ve alıcı ve gönderici arasındaki doğruluğu ispatlamak için tasarlanmıştır.Şekil 5.2. SSL protokol katmanı
Bu protokol üç amaç için tasarlanmış bir protokoldür.
Doğrulama: Verinin gönderilmesi işleminde bir gönderici birde alıcı vardır. SSL burada gönderen ile alıcının kimlik bilgilerini doğrular. Bu bilgiler web sunucunun veri tabanında saklanır.
Güvenlik: Gönderilen verinin üçüncü bir şahsın eline geçmesini önlemek ve güvenliği sağlamak için verileri şifreler.
Bütünlük: Bu aşamada gönderilen veri ile alınan verinin aynı olması, verinin içeriğinin bozulmaması ve değiştirilmemesi sağlanır.
Bu amaçlar, uygulama programı (web browser, HTTP) ile TCP/IP katmanları arasındaki bir program katmanında sağlanmaktadır. SSL, web sunucularına (Apache, Netscape vb), bir modül olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale gelir. [46, 48, 50]
SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication, iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.
Bilgisayarların birbirlerini tanıma işlemi, açık-kapalı anahtar tekniğine (public-private key encryption) dayanan bir kripto sistemi ile sağlanır. Bu sistemde, iki anahtardan oluşan bir anahtar çifti vardır. Bunlardan açık anahtar (public key) herkes tarafından bilinebilen ve gönderilen mesajı şifrelemede kullanılan bir dijital anahtardır. (Burada anahtar'dan kasıt, aslında bir şifreleme kriptolama algoritmasıdır. Bu algoritma (yani, anahtar) kullanılarak gönderilecek bilgi şifrelenir). Ancak, açık anahtar ile şifrelenen mesaj sadece bu anahtarın diğer çifti olan kapalı anahtar (private key) ile açılabilir (deşifre edilebilir). Kapalı anahtar da, sadece sizin bildiğiniz bir anahtar olduğundan, mesaj güvenliği sağlanmış olur. Örnek olarak, size mesaj göndermek isteyen birine kendi açık anahtarınızı gönderirsiniz. Karşı taraf bu anahtarı kullanarak mesajını şifreler ve size gönderir. Şifrelenen mesajı, sadece sizde olan ikinci bir anahtar (kapalı anahtar, private key) çözebilir ve bu anahtarı sadece siz bilirsiniz.
|
|  |
SSL, web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar çiftinin açık anahtarı da sertifika içinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır. Sertifikalar, güvenilir sertifika kuruluşları tarafından dağıtılmaktadır. [39, 45, 46, 49]5.2.4.2. Sertifika nasıl alınır?
Şekil 5.3. Sertifika alımı
İlk önce web sunucu sertifika yetkilisinden sertifika için talepte bulunur. Bu sertifikanın içinde public key, bölge ve kimlik bilgileri gibi bilgiler bulunur. Bu belge bu sunucuya bağlanan browserlara iletilir. Ancak bu sertifika tanımlandığında ve kabul edildiğinde iletişim güvenli modda yapılır.
Browser sertifika yetkilisine istekte bulunulan konuda ve özellikte sertifikaya yani onay belgesine yetki vermektedir.
Çeşitli şifreleme metodları kullanılarak private key yani özel anahtar oluşturulur. Güvenlik nedeniyle private key gizli tutulmalıdır. key.pem dosyası içinde web serverin veri tabanındaki yapı dizininde saklanmalıdır.
Sertifika istek komutu ile sertifika isteğinde bulunulur.
Seçilmiş onay belgesi yetkilisine onay belgesi isteğini gönder. Şekil 5.3’den de anlaşıldığı gibi sertifika web servera gönderilir.
Belge alındığında cert.pem dosyası oluşturularak belge içeriği bu dosyaya kaydedilir. Bu belge farklı yollarla alınabilir. Örneğin e-posta, veya HTML formunda alınabilir. Dosya pem formatında olmak zorundadır. Cert.pem dosyası veri tabanı yapı dizini içersine yerleştirilir. Alınan bu sertifika 6 ay ile 1 yıl arasında geçerlidir. [28, 46, 48-50]
5.2.4.3. SSL ile browser bağlantısıŞekil 5.4. SSL kullanılarak yapılan güvenli bağlantı
İstemci bilgisayar, SSL destekleyen bir sunucuya bağlandığı anda, (bu, https:// ile başlayan URL satırları ile gerçekleşir) doğrulama işlemi başlar. İstemci, kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu anahtarı kullanarak şifrelediği bir mesajı istemciye geri gönderir. Bir sonraki adımda istemci sadece kendinde olan kapalı (private) anahtarı kullanarak gelen şifreli mesajı çözer ve sunucuya geri gönderir. Mesajı alan sunucu ise, bunu kendisinin gönderdiği orijinal mesaj ile karşılaştırır ve eğer iki mesaj aynı ise doğrulama işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan itibaren doğru bilgisayarla/kişiyle iletişimde olduğunu anlar. Daha sonra sunucu istemciye o an gerçekleşen web oturumunda kullanılacak tüm önemli anahtarları gönderir ve güvenli iletişim başlar.
Anahtarlar üretilirken kullanılan bazı popüler algoritmalar olarak, DES (Data Encryption Standard), RSA, IDEA verilebilir. Bunlardan RSA'nın RC4 algoritması (128 bit şifreleme olarak) Netscape ve İnternet Explorer'da da kullanılan bir algoritadır.
Browserda iki öğe güvenli modda çalışıldığını gösterir.
v Adres alanında gösterilen URL , https ile başlar. http yerine protokol isim https başlayacaktır. Bu bağlantının SSL ile yapıldığını göstermektedir.
v
Kapalı asma kilit sembolü , listeleyicide alt sayfa gösterilir. Kullanıcı, bağlantıda bilgi almak için asma kilit çift tıklatabilir . [40, 46]
Normal Bağlantı Güvenli Bağlantı
Şekil 5.5. Browserdaki bağlantı simgeleri
5.2.5. SET (Secure electronic transaction)
SET banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak amacıyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign'ın katılımıyla oluşan bir konsorsiyum tarafından geliştirilmiştir. [21, 39, 47]
5.2.5.1. SET hesabının oluşturulması
SET protokolünde alışveriş, sanal cüzdan ve sertifika aracılığı ile daha güvenli bir ortamda gerçekleştirilir. SET, alışveriş işlemi sırasında ödeme bilgisi gizliliğini, kart kullanıcısının gerçek kart sahibi olduğunu ve işyerinin banka ile anlaşmalı bir işyeri olduğunu garantiler.
Şekil 5.6. SET hesabının oluşturulmasıKullanıcı istediği parçayı seçer ve sipariş eder, satıcı daha önce edindiği sertifikayı müşteriye iletir ve müşteri böylece satıcıyı belirler. Müşteri siparişini birinci adımda gizli anahtar ile şifreler ve daha sonra müşterinin genel anahtarını kullanarak ikinci şifrelemeyi gerçekleştirir. Bu durumda satıcı, sadece müşteri siparişinin şifre çözümünü yapabilir. Doğal olarak siparişin parasal kısmı, kredi kart numarası da şifrelenmiş olarak aktarılır.
Satıcı kendi öz anahtarını kullanarak gizli anahtarının ve daha sonra da siparişin şifresini çözer. Bu işlemleri izleyerek, satıcı siparişin kopyası ile birlikte ödeme bilgilerini bankaya iletir.
Banka önce müşteriye ait bilgileri kontrol eder ve daha sonra bilgileri açar. Sonra müşterinin ödeme bilgilerini kontrol eder ve satıcıya gerekli garantiyi verir. Satıcı bunun üzerine müşterisinin siparişini yerine getirir.
SET sistemi de SSL'de olduğu gibi kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek gönderilmesi esasına dayanır. Bu sistemden faydalanabilmek için kullanılmak istenen kredi kartının SET uyumlu olması gerekir. SET protokolünü kullanmak isteyen kredi kartı sahipleri iki ön koşulu yerine getirmek zorundadırlar:
Öncelikle kullanmak istedikleri her bir kredi kartı için sertifikasyon kurumu (Certificate Authority) ayrı birer SET sertifikası almalıdırlar. Ardından kart sahipleri yine kredi kartı veren bir bankadan sanal cüzdan adı verilen bir programı alıp bilgisayarlarına yüklemeli ve bu yükleme sırasında SET sertifikalı kredi kartlarını programa tanıtmalıdırlar. SET uyumlu alışverişler sanal cüzdanın yüklü olduğu bilgisayar kullanılarak SET uyumlu mağazalardan yapılabilecektir. Sanal cüzdan programı en fazla üç kez yüklenmek üzere yazıldığından en fazla üç bilgisayarda kullanılabilecektir.
Sanal mağazalar ise Sanal POS (Point Of Sale) olarak adlandırılan V-POS yazılımını yükledikten sonra bir sertifikasyon kurumundan dijital bir sertifika alarak alışverişlerin güvenliğini sağlarlar. [21, 28, 52]
5.2.5.2. SET ile alışveriş
SET ile alışveriş sırasında gerçekleşen işlemler sırasıyla aşağıdaki gibidir:
1- SET protokolü, kart sahibi internet üzerinde araştırmasını tamamlayıp seçimini yaptıktan ve siparişini verdikten sonra devreye girmektedir. SET işleminin başlamasından önce kart sahibi sipariş formunu doldurmuş ve onaylamış olmalıdır.
2- Kredi kartı sahibinin yazılımı satıcı firmaya kullanılacak kredi kartını belirten ve ödeme altyapısını sağlayan kuruluşun sertifikalı açık anahtarının kopyasını isteyen bir mesaj gönderir.
3- Hizmet veren sitenin yazılımı mesajı aldığında, sadece o mesaja özel bir işlem tanımlama numarası belirler. Daha sonra bu özel tanımlama numarasıyla beraber kart sahibine satıcı firmanın açık anahtarını ve ödeme altyapısını sağlayan kuruluşun (genelde bankalar) onaylı açık anahtarını gönderir.
4- Alıcı şahısın yazılımı satıcı firmanın ve ödeme altyapısını sağlayan kuruluşun sertifikalarını kontrol eder ve sipariş sürecinde kullanmak üzere bunları kaydeder. Kart sahibinin yazılımı sipariş bilgisini ve ödeme talimatlarını oluşturur.
5- Alıcı şahısın yazılımı sipariş bilgisi ve ödeme talimatları için bir dijital imza oluşturur. Yazılım daha sonra ödeme altyapısını sağlayan kuruluşun açık anahtarını kullanarak dijital olarak imzalanan ödeme talimatlarını şifreler. Son olarak yazılım imzalanmış ve şifrelenmiş sipariş bilgisini ve ödeme talimatlarını bir mesajla satıcı firmaya gönderir.
6- Satıcı firmanın yazılımı siparişi alır ve kart sahibinin açık anahtarı üzerindeki dijital sertifikayı kontrol eder. Bundan sonra gene bu açık anahtarı kullanarak siparişin gerçekten kart sahibinden geldiğinden ve mesajın gönderim esnasında değiştirilmediğini emin olur.
7- Bu işlemlerin ardından satıcı firmanın yazılımı ödeme onayı istenmesi de dahil olmak üzere siparişle ilgili işlemlere başlar
8- Alıcı şahıs tarafından verilen sipariş bilgisi işleme alındıktan sonra, satıcı firmanın yazılımı bir cevap mesajı hazırlar ve dijital olarak imzalar (satıcı firmanın onaylı açık anahtarı ile). Kart sahibinin siparişinin alındığının ve işleme konulduğunun bildirilmesi amacıyla hazırlanan cevap mesajı kart sahibine gönderilir.
9- Kredi kartı sahibinin yazılımı satıcı firmadan cevap mesajını aldığı zaman dijital sertifikasını kontrol eder. Bunun ardından bu mesajı kullanarak kart sahibine bir teyit mesajı gösterir veya siparişin durumunu günceller.
10- Kart sahibinden gelen siparişlerin işleme konulması esnasında satıcı firmanın yazılımı ödenmesi talep edilen tutarı, sipariş bilgisindeki işlemi belirleyen özel tanımlama numarasını ve işlemle ilgili diğer bilgileri içeren bir ödeme onay talebini hazırlar ve bu mesajı dijital olarak imzalar. Ardından bu talep ödeme altyapısını sağlayan kuruluşun açık anahtarı kullanılarak şifrelenir. Satıcı firmanın ödeme onay talebi ve kart sahibinin şifrelenmiş ödeme talimatları ödeme altyapısını sağlayan kuruluşa gönderilir.
11- Bu alış veriş için ödeme altyapısını sağlayan kuruluş onay talebini aldığı zaman satıcı firmadan gelen onay talebini kendi gizli anahtarını kullanarak deşifre eder. Ardından satıcı firmanın açık anahtarı üzerindeki dijital sertifikayı kontrol eder ve sertifikanın geçerlilik süresinin dolup dolmadığını belirler. Sertifikaların Bundan sonrada alıcı şahısın doğru kişi olduğundan emin olur.
12- Ödeme altyapısını sağlayan kuruluş satıcı firma tarafından gönderilen işlem tanımlayıcısı ile kart sahibinden gelen ödeme talimatlarındaki tanımları karşılaştırarak her ikisinin de aynı olup olmadığını kontrol eder. Kontrolün ardından ödeme altyapısının sağlayan kuruluş, kredi kartını veren bankaya internet üzerinden çalışmayan bir ödeme sistemiyle bir onay talebi gönderir. Kartı veren banka onay talebini işleme alır ve ödeme altyapısını sağlayan kuruluşa güvenli ödeme sistemi aracılığıyla bir cevap gönderir.
13- Ödeme altyapısını sağlayan kuruluş Onay cevabını aldıktan sonra kartı veren bankanın cevabını ve onaylı açık anahtarını içeren bir onay cevap mesajı yaratır ve dijital olarak imzalar. Cevap satıcı firmanın açık anahtarını kullanarak şifrelenir ve satıcı firmaya gönderilir.
14- Satıcı firmanın yazılımı ödeme altyapısını sağlayan kuruluştan onay cevabını aldığı zaman kendi gizli anahtarıyla deşifre eder. Ardından ödeme altyapısını sağlayan kuruluşun açık anahtarı üzerindeki dijital sertifikayı kontrol eder ve bu açık anahtarı kullanarak ödeme altyapısını sağlayan kuruluşun onay cevap mesajındaki dijital imzayı kontrol eder.
15- Satıcı firma onay cevabını aldıktan sonra kart sahibinin siparişi tamamlar ve ilgili ürünü alıcı için gönderir veya sözkonusu hizmeti verir.
16- Verilen siparişi yerine getirdikten sonra satıcı firma ödeme talebinde bulunur Ödeme talebinde bulunmak için satıcı firmanın yazılımı işlemin toplam tutarını, sipariş bilgisindeki işlem tanım numarasını ve işlem hakkındaki diğer bilgileri içeren bir veri paketi oluşturur ve dijital olarak imzalar. Bu talep ödeme altyapısı sağlayan kuruluşun açık anahtarı ile şifrelenir ve ödeme sağlayan kuruluş tarafından gönderilir.
17- Gün sonu işlemi talebini aldığı zaman ödeme altyapısını sağlayan kuruluş, kendi açık anahtarını kullanarak talebi deşifre eder. Satıcı firmadan gelen gün sonu işlemiyle, daha önce işleme alınan onay talebini karşılaştırır ve bir tahsilat talebi oluşturarak bunu kredi kartını veren bankaya güvenli ödeme sistemiyle gönderir.
18- Ödeme altyapısını sağlayan kuruluş kendi onaylı açık anahtarını içeren bir gün sonu cevap mesajı oluşturur ve bunu dijital olarak imzalar. Bu cevap satıcı firmanın açık anahtarı ile şifrelenerek satıcı firmaya gönderilir. Bu mesaj sayesinde gün sonu işleminin ödeme altyapısını sağlayan kuruluş tarafından alındığını ve işleme konulduğunu satıcı firmaya bildirir.
19- Satıcı firmanın yazılımı ödeme altyapısını sağlayan kuruluştan gün sonu işleminin cevabını alınca, mesajı kendi gizli anahtarını kullanarak deşifre eder. Ardından ödeme altyapısını sağlayan kuruluşun açık anahtarı üzerindeki dijital sertifikayı kontrol eder ve yine bu açık anahtarı kullanarak ödeme altyapısını sağlayan kuruluşun dijital imzasını kontrol eder. Son olarak satıcı firmanın yazılımı gün sonu işlemi cevabını yapılan ödemeler için gönderilen gün sonu talep mesajları ile mutabakat için kaydeder. [21, 42, 47]
5.2.5.3. SET ne kadar güvenlik sağlar?
v SET, kredi kartı ile yapılan online ödemelerde, bilgilerin internet üzerinden aktarımında gizlilik ve güvenlik entegrasyonunu sağlar.
v SET protokolü sadece müşteri (ürün siparişi veren kredi kartı sahibi) ile sanal dükkan (e-dükkan) ve kredi kartı şirketi arasındaki ödeme fazını şifreler. SET ile, ödeme işlemine taraf olan herkes (müşteri, dükkan sahibi, kredi kartı şirketi), birbirlerini tanırlar
v Bir siparişin gönderilmesi ve yanıtının gelmesi işlemlerini tümleştirerek yerine getirir,
v Sipariş gizlidir ve müşteri hiç bir zaman müşteri numarasını bilmez,
v Satıcı ödemenin yapılacağı hakkında güven altındadır. Zira bu ödeme üçüncü parti (örneğin banka) tarafından güven altına alınmaktadır.
Tanıma işlemi, SSL'dekine benzer bir dijital sertifikasyon sistemi ile yapılır. Yani, ödeme fazına dahil bütün taraflar kendi kimliklerini belirten dijital bir sertifika kullanır. [21, 44, 47, 52]
6. SONUÇ VE ÖNERİLER
İnternet artık hayatın her alanında karşımıza çıkan sadece bilgisayar ile profesyonel anlamda uğraşan insanların değil, hemen hemen herkesin eğlence, haberleşme, alışveriş, banka işlemleri ve bilimsel olarak pek çok ihtiyacını karşıladığı bir alan haline gelmiştir.
İnternetin bu kadar yaygın hale gelmesiyle ortaya çeşitli risk ve güvenlik sorunları çıkmıştır. Bu risk ve güvenlik sorunları tek bir kullanıcıdan başlayıp bir kurumun sahip olduğu bilgi ve tüm sistemini tehdit eden bir hal almıştır. Bunun için interneti kullanan tüm kullanıcıların ilk önce dikkatli olmaları, internet hakkındaki bilgilerini geliştirmeleri ve kullandıkları sistemin fonksiyonlarını iyi öğrenmeleri gerekmektedir.
Kullanıcıların dikkatli olmaları gerektiği ile ilgili yapılabilecek sadece dikkatli ol uyarısında bulunmaktır. Ama internetten gelebilecek tehlikelere ve güvenliği tehdit eden unsurlara karşı bu tezle, kullanıcılara bu riskler ve alınabilecek önlemler hakkında yararlanabilecekleri bir bilgi bütünü sunulmaktadır. İçerik olarak internette güvenlik konusu internet nedir?’den başlayıp, internet ile işlem yapan PC kullanıcıların kurumların alması gereken önlemler ve E-ticarette kullanılan güvenlik için gerekli şifreleme metodları anlatılmaktadır. Bu bilgiler hem profesyonel nitelik taşımayan kullanıcıların yararlanabilecekleri hemde profesyonel anlamda bu işle uğraşanların bir şeyler bulabilecekleri kaynak özelliği taşımaktadır.
Bu kaynaktan yararlanmak isteyen tüm kullanıcılara önerim ilk önce internet ortamında dikkatli olmalarıdır. Sistemlerini iyi tanımaları, yaptıkları tüm işlemleri bilinçli yapmaları güvenlik açısından kendilerine çok şey kazandıracaktır.
KAYNAKLAR
1. http://www.turkcenet.net/
2. http://www.linux.org.tr/documents/kullanici_belgeleri/ag_guvenligi.html
3. http://bornova.ege.edu.tr/~ntdestek/wstation/
4. http://www.linux.org.tr
5. http://artemis.efes.net/endercan/ntnotwin950.html
6. webcom.com/ wordmor/ sem_1.html
7. Özkan,Y., Unix İşletim Sistemi, ALFA Basım Yayım, İstanbul, 1995
8. Erdem, A., Bilgisayar Haberleşme Teknolojisi, Nobel Yayınları, Ankara, 1998
9. http://www.prosoft.com.tr/sco/kitap/kitap.html
10. Oppliger, R., Internet and Intranet Security, Artech House, Boston, 1998,
11. Yıldırımoğlu, TCP/IP, Pusula Yayıncılık ve İletişim Ltd., İstanbul, 2000
12. http://www.be.itu.edu.tr/kaynak/rapor2/TCPIPveInternet
13. http://www.be.itu.edu.tr/kaynak/sistem/linux/linux6.html
14. http://www.bilisimrehber.com.tr/arastirma/tr_arastirma_tcpip.phtml
15. www.elips.com/ElipsWeb/onemli%20bilgiler/bolum1.htm-bolum7
16. www.netrj45.tsx.org/tcp(1).html
17. http://www.cc.metu.edu.tr/turkce/servisler/ol/hii/bolum2.html
18. http://www.akbulutakdag.8m.com/cgi-bin/
19. http://creatin.virtualave.net/Documents/modem.htm
20. http://www.unidetonline.f2s.com/modemler.htm
21. http://www.tef.gazi.edu.tr/~aerdem/bilgisayar/internetnot/bolum7.html
22. http://www.comnet.net
23. http://www.adambilgisayar.com.tr/guvenlik.html
24. www.verisoft.net.tr/orta3.htm
25. http://www.vicomsoft.com/knowledge/reference/firewalls1.html
26. http://korsan3000.virtualave.net/html/duvar.htm
27. http://www.linux.org.tr/documents/kullanici_belgeleri/ipchains-firewall.html
28. http://www.webokul.com/internetnedir/bolum_1/konu_34.htm/-bolum_10/konu_51.html
29. www.mustafakemal.tsx.org
30. İnternet Kullanım Kılavuzu, Alfa Yazarlar Grubu, Alfa Basım Yayım Dağıtım 2000, İstanbul
31. http://www.chip.com.tr/pratik/katalogdb.asp?ID=206
32. http://www.bimeks.com.tr/f-secure/virusler/bubbleboy/
33. http://mantartm.virtualave.net/Virusler.htm
34. http://members.nbci.com/_XMCM/korsaninc/virus/virusler.htm
35. http://www.tepum.com.tr/virus.htm
36. http://www.dikkatvirus.com
37. http://www.mikrohaber.com/makale/teknoloji/kriptoloji.html
38. http://www.istanbul.edu.tr/fen/matematik/matekulp/matematikkulb/epsilon_1/sf-grup_3/sf37_41.htm
39. http://www.eng.bahcesehir.edu.tr/css/bolum11/bolum11.html
40. http://mercan.cmpe.boun.edu.tr/~levi/AS97.HTM
41. http://www.gastrit.8k.com/email.html
42. http://www.kobinet.org.tr/hizmetler/e-ticaret/e-ticaret-kutuphanesi/003a.html-003d
43. http://www.isortagi.com/e-ticaret.html
44. http://www.unaldi.org/yazi.asp?yaziID=100
45. http://www.ssl.com/
46. http://www.4d.com/acidoc/cmu/CMU02064.HTM
47. http://www.interpazar.com/guvenlik.htm
48. http://developer.netscape.com/docs/manuals/security/sslin/contents.htm
49. http://www.tml.hut.fi/Studies/Tik-110.350/1998/Essays/ssl.html
50. http://byerley.cs.waikato.ac.nz/~tonym/articles/ssl/node3.html
51. http://www.crea-world.com/tech/ipsecurity.asp
52. http://www.setco.org/aboutmark.html
