Akbal Verikaydi Sunum

1. VER KAYDI GVENL A Gvenlii Dersi Prof. Dr. Blent rencik Tuba Akbal 504061533 Nisan 2007

2.

Veri Kaydnn nemi

Gemite Veri Kayd

Gnmzde Veri Kayd

Veri Taban Sistemleri

3.

Veri Tabanlarnn Amalar

Veri Tabanlar Gvenlik zellikleri ve Karlatrma

Oracle Gvenlii

Oracle Sistem Gvenlii

Oracle Veri Gvenlii

SQL Server Gvenlii

Oturum Ama Dorulama

Veritaban Kullanc Hesaplar ve Roller

4. ERK

Gnmzde Yaanan Gvenlik Problemleri

Tehdit Kaynaklar

Eitimsiz ve Bilinsiz Personel

Terrist Kurulular

Hacker ve Ykclar

Kt Niyetli Kiiler

Doal ve Fiziksel Tehditler

5. ERK

Veri Kayd Gvenlik Esaslar

Veri Kayd Gvenlii Niin nemli?

Gvenlik Boluklar ve Oluabilecek Zararlar

Hatal Yaplandrlm VPN Sunucular

SQL Sorgularnn Deitirilmesi(Injection)

Kolay Tahmin Edilebilir ifrelere Sahip Hesaplar

Gvenlik Duvar Tarafndan Korunmayan Sistemler

Yaanm Baz Veritaban Saldrs rnekleri

6. DMZ(Demilitarized Zone): Kurumun i ve d andan gelen isteklere izin verilen, d aa giden balant isteklerine izin verilen, ancak i aa balanrken her konaa izin vermeyen, i a tehdit eden unsurlarn kamayaca kapal kutu niteliinde adr. DNS, mail sunucusu, web sunucusu...vb bu ada hizmet verir.

Veri Kayd Gvenlik nlemleri

Fiziksel nlemler

Veritaban ve Web Sunucular Ayr Donanmlarda

Veri Kayd Yedekleme ve Geri Alma Stratejileri

A zerinde Alnacak nlemler

Hub Yerine Switch Kullanmak

Veritaban Sunucusunu DMZden Ayr Tutmak

Sunucu zerinde Alnacak nlemler

Web ve Veritaban Arasndaki Veriyi ifreleme

Uygulama zerinde Alnacak nlemler

7. ERK

Uzun Dnemde Alnmas Gereken nlemler

Eitim ve Bilinlendirme

Politika ve Ynergeler

Gvenlik Yaam Dngs

Sonu ve Veri Kayd Gvenlik Gerekeleri

8. Veri Kaydnn nemi

nsan, dnyaya ayak bast gnden bugne kadar geen zaman iinde meydana gelen bilgi birikiminin toplanmasna nem vermektedir

Gemite Veri Kayd

Ta, koyunun krek kemii, balk yapra, anak mlek paralar, yrtc hayvan derileri ve aa kabuklar, anak mlek, papirs, tun, palmiye yapraklar, balmumu..vb. Kt ve matbaann icad ile kitaplar

9.

Gnmzde Veri Kayd

B ilgisayar ortamnda gereklenmektedir

Disket, CD, DVD, Flash Bellek, Hard diskvb elemanlar

Veritaban Sistemleri

Veritaban Sistemleri

Veritaban dzenli bilgiler topluluudur

My SQL, Ms SQL , PostgreSQ L , Oracle, Sybase, BerkeleyDB, Firebird..vb veritaban sistemleri mevcut

10.

Veri Tabanlarnn Amalar

Verilerin gvenli bir ekilde tutulabildii

Bilgilere hzl eriim imknlarnn saland

Bilgilerin btnlk ierisinde tutulabildii

Fazla kullancya ayn anda bilgiye eriim imknnn saland

programlardr.

11. Veri Tabanlar Gvenlik zellikleri ve Karlatrma

Oracle Gvenlii

V eritabanna nasl eriileceini

Veritabannn nasl kullanlacan kontrol eden gvenlik zellikleri ierir

Oracle Sistem Gvenlii

K ullancnn balanmaya yetkisi var m ?

Veritaban denetlemesi aktif mi ?

Kullanc hangi sistem operasyonlarn yapabilir ?

12.

Oracle Veri Gvenlii

Veritaban kullanclar ve emalar

G eerli bir kullanc ad ve ifresi

Yapabilecei ilemler: gvenlik alan

Yetkiler

SQL cmlesini altrabilme hakk

Sistem yetkileri

ema yetkileri

Roller

Y etki ynetimini kolaylat rr

13.

Depolama Ayarlar ve Kotalar

Varsaylan ve geici tablespace

Yer tablespace zerinde verilmi kotayla snrl

Profiller ve Kaynak Limitler

Her kullancya profil oluturma

Oturum says, CPU kullanm, sorgu says, bal kalma sresi, yanl ifre girme snrvb

Seilmi Kullancn n Hareketlerinin Denetlenmesi

C mleler, yetkiler ve ema nesneleri denetlemesi

Bilgileri denetleme tablolarnda saklama

Ayrntl Denetleme

V erinin ieriine gre denetleme

Belli bir prosedrn arlmas

14.

SQL Server Gvenlii

Oturum Ama(Login) Dorulama

Balanmak iin oturum ama hesab gerekli

ki giri mekanizmas

SQL Server Belgesi

Giri hesab ve ifresi tanmlanr

Win NT Belgesi

Login hesab olmadan balanabilir

Ynetici hesap amal, o iki belgeyle de alabilir

2 farkl mod

Windows NT Belge Modu

Win NT Belgesi izinlidir

Kullanclar giri hesab belirleyemez

15.

Mixed Mod

Win NT ve SQL Server Belgesi izinli

Standart gvenilir olmayan

Uyumlu gvenilir giri isteklerine onay

2 farkl gvenlik

Tmleik Gvenlik

Win NT dorulma mekanizmas

Sadece gvenilir balantlar izinli

Standart Gvenlik

SQL Server dorulma mekanizmas

Geerli bir loginID ve ifre gerekli

16.

Veritaban Kullanc Hesaplar ve Roller

Roller kullancya zg

Hesaplar veritabanna zg

Roller nesneleri kontrol eder

Hesaplar gvenlik izinlerini uygular

Fixed Server Rol

Sunucu seviyesinde ynetim ayrcalklar

SQL Server 2005

Grnen alanlar azaltma

st dzey ifreleme

17.

Veri ifreleme: stemci-Sunucu iletiimleri

Kimlik dorulama: Sanal sunucu zerinde Kerberos

Detayl izinler: Least privilages

Kullanc ve ema ayrm

Sunucuya zor eriim

Zayf ve eski ifrelere kar koruma

18. Gnmzde Yaanan Gvenlik Problemleri

Veri paylam artt gvenlik zor

Baz sk gvenlik aklar

Hatal Yaplandrlm Sanal zel A (VPN) Sunucular

Web Uygulamalarnda SQL Sorgularnn Deitirilebilmesi

Kolay Tahmin Edilebilir ifrelere Sahip Kullanc Hesaplar

Gvenlik Duvar Tarafndan Korunmayan Sistemler

20.

Verinin aklar ve zayf ynleri var

Daha deerli

Eriim kstlanmal

Veri Tehdit Kaynaklar

Hizmetleri aksatan veya durduran

Gvenilirlii sarsan

Gizli bilgileri aa karan

Maddi hasar veren

Zaman kaybna yol aan

Tahrip eden

Veri an almaz duruma getiren

21.

zinsiz Eriim

Yetkisiz eriim, bozulma yok

rn: A koklama

Engelleme veya Zarar Verme

Veriye eriimin engellenmesi

Kaybolmas/silinmesi

Ulalmaz durumda olmas

rn: DoS, DDoS

22.

Deiiklik Yapma

Amaca uygun deiiklik

Durgun yada aktarlan veri zerinde

rn: Virs, truva at

retim

Olmamas gereken veri retimi

Gerek veri taklidi

Geree uygun yeni veri

rn: Sahte veri

23.

Eitimsiz ve Bilinsiz Personel

Virs bulatrma

A iletiim hatlarn koparma

Veri silme

Terrist Kurulular

Gvenlik kavram ve amalarn bilen

Bozmaya ynelik organize eylemler

En tehlikeli grup, sayca az

Planl ve organize saldr

24.

Hacker ve Ykclar

Dinleme, casusluk, tarama

Yerine geme, srtlama, truva at

Yanl bilgi girii, aldatma

Belirli bir ama yok

Merak

Kendini kantlama

Kt Niyetli Kiiler

Yetkisiz giri, gizlice dinleme, verileri ele geirme istei

Casusluk, hrszlk

A fark edip yararlanma

25.

Doal ve Fiziksel Tehditler

Sel, yangn, elektrik kesintisi

Deprem, doal tehdit unsurlar

Geri dnmsz kayplar yedekleme art!

Veri Kayd Gvenlik Esaslar

lem gren ve iletilen verinin

Y etkisiz kiilerce eriimini

D eitirilmesini

Yok edilmesini nlemek

Veri gvenilirlii, gizlilii, btnl,hazr bulunabilirlii

26.

Gvenilirlik

Sistem gvenlii salama

Hazr Bulunabilirlik

Her an kullanlabilir durumda

Yetkili kiilerce eriilebilir

Engelleme ve deiiklik saldrlar

Btnlk

Doru ve kesin veri

Yetkisi olanlara, izin verilen ekilde eriim

Anlaml ve tutarl

Engelleme , zarar verme ve deiiklik saldrlar

Gizlilik

zin verilen kiilerin, izin verilen yollarla eriimi

Gvenli transfer, gizlilii korumak

27.

Veri Kayd Gvenlii Niin nemli?

Askeri kurumlar

Kiiler

zel devlet kurumlar

irketler

Gvenlik Boluklar

Uygulama kaynakl sorunlar

Eksik yamalar

Varsaylan yaplandrma ve ifreler

Zayf ifre politikalar

Kullanclara fazla yetki verilmesi

Yedekleme ve geri alma politikalar

Gvenlik aklar takibi

28.

Hatal Yaplandrlm VPN Sunucu

Gvensiz alar zerinde gvenli iletiim tnelleri

Sorunlar

Harici kimlik dorulama sistemleri kullanlmamas

Yerel aa dorudan eriim

stemci-Internet aras iletiim izolasyonu olmamas

Zayf kriptolama algoritmalar

neriler

Gezgin kullanclara

Saysal sertifika

Tek kullanmlk ifre

Sunuculara

Kendine has DMZ

Yerel alana ba gvenlik duvar

Uzaktan eriim haklarna kstlama

29.

nternet ve VPN izolasyonu

Krlmayan algoritmalarla kriptolama

3DES, AES

Web Uygulamalarnda SQL Enjeksiyon

En yaygn aklar

stenmeyen veritaban ilemleri

Planlanmam uygulama dzeyinde eriim

Tablo yaratma, deiiklikler yapma

CREATE, UPDATE, DELETE, INSERTvb

Veritaban zerinde eriim salama, sunucuda komut altrma

rn: ; UNION kt niyetli saldrya ak karakter

30. SQL Enjeksiyon

31.

Saldr teknikleri ile komut altrma:

Otorizasyon Almas

Sentaks Krmyla Dorudan Enjeksiyon

Sentaks Krmyla Dolayl Enjeksiyon

Sentaks Hata Mesaj ile Sorgu Dkm

Parantez Krmyla Dolayl Enjeksiyon

LIKE komutu ile Dolayl Krm ve Enjeksiyon

WHERE komutu ile Kolon Krlmas

Hazr Sistem Prosedrleri Kullanlmas

32.

neriler

Deiiklikler iin kontroller

Beklenilen ve girilen verinin kyas

Farkl karakter saptamas, ayklanmas

Hata mesaj ile uyar

Yanl ifreleme Stratejisi

Kolay tahmin edilebilir ifreler

neriler

ifre seimi, kalitesi ve ynetimi

Kriter uyumu iin

Dizin hizmetleri ve alan denetileri

Harici dorulama sistemleri

Saysal sertifikalar

33.

Yanl ifre giri tekrar says kontrol

Varsaylan ifre deiimi

Veriye eriim dzeyi belirleme

Hesap yaam sresi kontrol

Kayt(log) tutmak

Periyodik ifre deiimi

Basit ifre sememek(karakter, rakam, uzun)

34.

Gvenlik Duvar ile Korunmayan Sistemler

nemli gvenlik bileenleri

Sorunlar

Snrsz eriim haklar

zelletirilmemi eriim denetim kurallar

Gvenlik aklarnn takip edilememesi

Yaplandrma hatas

neriler

Web hizmeti veren sistemler DMZe

Gvenlik yamalar

35.

zel eriim kurallar belirlememek

Ynlendirici ile duvar aras fiziksel girii kesmek

Veritaban Saldrlar

2001de ele alnan 750 irketten %10

Banka ve finansal servislerden %40

Salk sektr ve iletiim alannda %18

Eriim ve veri bozma

SQL Server, MySQL, Sybase ve Oracle hedef

36. Veri Kayd Gvenlik nlemleri

Eskiden

Tahtaya yazp mumla kaplama

Klenin kafasna yazlan mesaj

Japon ajan Velvalee Dickinson

Bebek sipari mektuplarna veri saklama

Amerikan ordusu hakknda bilgi

Mor tesi boya ile yaz

37.

Gnmzde

Veritabanlar kritik bileenler

A blmlendirilmesi

Gvenlik duvarlar

Veriyi ifreleme, datk yaplar

Zafiyet tarayclar

Sunucu tabanl saldr tespit sistemleri

Btnlk denetleyiciler

38.

Eriim denetimi, fiziksel eriim nlenmesi

Aynalanm dosyalar datmak

Farkl hard diskler zerine

retilen veri miktarnn dzenli kontrol

Yedekleme mekanizmas

ifreleme, yamalar

Gnlk kaytlar(log)

Antivirs yazlmlar

Sistematik olarak ele alnrsa:

39. Fiziksel nlemler

Detayl eriim kaytlar

Doal afetler ve fiziksel saldrlar

Farkl lokasyonlarda yedek sunucular

Gvenli bir blge belirleme

Disket, kartu, optik disk, tanabilir disk, CD-ROM.. kullanm

Kesintisiz g kaynaklar

Kriptolama yntemi ve anahtar saklama

40.

Gelimi kimlik dorulama sistemleri

Akll kart, biyometrik yntemler

Veritaban ve web sunucusu ayr donanm

Btnleik olmasn

Gvenlik duvarlar ile izole et

Microsoft IISin gvenlik aklar

Nimda ve Code Red gibi solucanlar

Arka kap

Ynetici ayrcalklar

Dosya sistemlerine ulam

Microsoft Access dz dosyalar

Web sunucusu krlrsa ele geer

Ancak performans der

41.

Veri Kayd Yedekleme ve Geri Alma

V eri kaybn nlemek

Y edekleme ve geri alma stratejisi

Veritabanna entegre

Veritaban koullarna gre dizayn

Boyutu

Deiikliin bykl

Var olan kaynaklar

Performans der

Paralellik nerilir

Hzl yedekleme aralar

42. A zerinde Alnacak nlemler

Hub yerine switch

VLAN ve gvenlik duvar

Saldr tespit sistemleri(IDS)

Tuzak sistemler

Merkezi log sunucusu

Zaman senkronizasyonu

Farkl sunucularda

43.

Hub yerine Switch Kullanmak

Hub ile:

A ortamn birbirine balar

Tm istemciler veriye eit eriim hakk

Tehlike:

Saldrgan DMZ iinde mail sunucusuna szar

Veritaban-web aras trafik ve veri

Switch ile:

Sanal devre zerinden haberleme

Trafik gzlenemez

Veri alnamaz

Ancak Saldrgan Telnet konsolu ile:

Switch ayar yapar

Trafik tek porta ynelir trafik analizi

Esas zm veri ifreleme

44.

Veritaban Sunucusunu DMZden ayrmak

Hacker aa zel IP ile eriebilir

Veritaban sunucusu taklidi yapabilir

kinci bir gvenlik duvar

Mail sunucusundan gelen saldrlar nlemek

Gvenlik duvarn yazlmla ayr

DMZden ayr zellikte sunucu

lki: Check Point

kincisi:Cisco PIX ya da Raptor

45.

Gvenlik duvarna farkl a arayz

DMZ ve LAN ayr

Gvenlik duvar eidi nemli

DMZ ve veritaban sunucusu btnleik

Yazlm tabanl lokal gvenlik duvar

Gvenlik duvar yazlm(M. Windows):

Black Ice Defender, Tiny Personal Firewall

46. Veritaban Sunucusu Grnm

47. Sunucu zerinde Alnacak nlemler

letim sistemi gvenlii arttrmak

Gerekli yamalar

Gvenlik yaplandrmalar

Gereksiz bileenleri kaldrmak

Antivirs yazlmlar

Eriim kstlamalar

Uzaktan ynetim protokol

A zerinde ifreli veri iletimi

48.

Sunucu davranlarn izlemek

Btnlk denetleyicileri

Yedeklemek, geri almak, kayt tutmak

Veriyi ifreleyerek tutmak

Dorulama ve inkar edememe iin yol

ifre anahtarn salam semek

rn: ak anahtarl ifreleme

zel anahtar doru semek

49.

Web ile Veritaban Aras Veri ifreleme

SSL web sunucusu-taraycs aras ifreler

Veri veritaban sunucusuna ifresiz iletilir

Kendine zg SSL

Sybase, SQL Server, MySQL, PostgreSQL, Oracle

Veritaban salayc SSL yeteneine destek

Kodla uyumlu

Esnek deil

SSH Port Forwarding

Unix, Linux, Windows

SSH Telnetin yerine

Trafik tr dinler

ifreli SSH ortamna ynlendirir

Uygun porta ynlendirir

50.

ift ynl: remote forwarding

Duvar tm trafii geri evirir

Sadece lokal ilemlerden gelen trafik kabul

Stunnel

Otomatik deil, manuel

Ak kaynak

Arka plan prosesi

Tm SSL zellikleri

Sertifika CA, istemciler dahil

Unix iin TCP Wrapper

51. Uygulama zerinde Alnacak nlemler

Girdi/kt kontrolleri

Veri tipi uyum kontrol

Girilen veri limitleri kontrol

Hata denetimi fonksiyonlar

Doru uygulama tasarm

Gvenlik ilkelerine uygun

52. Uzun Dnemde Alnmas Gereken nlemler

Ynetici nlemleri

Kullanc adlar, ifreler, roller, emalar

Yapacaklar ilemlerin tanm

ifre mr

Eski ifre kullanm

Karmak ve uzun ifre

Yanl ifre girii bloke

53. Eitim ve Bilinlendirme

Personel gvenlii

Gereken dzeyde eitim

Disket, teyp, sabit disk saklama ortam

Silmek ya da yok etmek

Ortalk yerde brakmamak

Kontrol amal log tutmak

Veriler ilenirken

Depolanrken

54. Politika ve Ynergeler

Gvenlik politikas hazrlamak

Savunma yollar belirlemek

Denetimlerin uygulandndan emin olmak

Etik kurallar

Resmi deil

Yaptrm gc yok

Politikaya uygun yordamlar

Gvenlik politikas yoksa gvenlik yok

55. Gvenlik Yaam Dngs

Sorunun farknda olmak

birlii

Sistem/gvenlik yneticileri

dari ynetim

zme ynelik eylemler

Kullanclarn anlayaca denetimler

Dzenli aralklarla gzden geirme

Glendirme ve salamlatrma Mdahale ve iyiletirme Hazrlk ve tespit

56. Sonu ve Veri Kayd Gvenlik Gerekeleri

Tek seferlik uygulama deil SRE

Aklarn temeli:

Hatal programlama

Hatal yaplandrma

Gncelleme yaplmamas

Denetimlerle:

Veritaban sunucular

Yerel alan a cihazlar

letim sistemlerini yaplandrmak

Paylalan kaynaklarn gvenlik analizi

57.

Eylemler:

Veri alma

Baka alara aktarma

Veri deitirme, ktye kullanma

Son srm olmal:

letim sistemi

Web sunucusu uygulamalar

Veritaban sunucular

Sorumlular:

Web yazlmcs

Veritaban yneticisi

Kullanclar

58. REFERANSLAR

[1] Making Your Network Safe for Databases, Duane Winner

http://www. governmentsecurity .org/ articles / MakingYourNetworkSafeforDatabases . php

[2] Creation of a Database Security Concept

http://www. bsi . bund .de/ english / gshb / manual /s/s02126. htm

[3] Database Security in High Risk Environments, Joaquin A. Trinanes

http://www. governmentsecurity .org/ articles / DatabaseSecurityinHighRiskEnvironments . php

[4] Database Security Issues http:// databases . about .com/od/ security / Database _ Security _ Issues . htm

[5] Milli Savunma Bakanl Bilgi ve letiim Gvenlii Sunumu, Ufuk oban, Yavuz Erdoan

[6] Trkiyede En Sk Karlalan Gvenlik Aklar, Infosecurenet

http://www. infosecurenet .com/10_ guvenlik _ acigi _2004. pdf

[7] http://tr. wikipedia .org/ wiki /Veri_taban%C4%B1

59.

TEEKKRLER

SORULARINIZ?

Akbal Verikaydi Sunum

Technology