Blog ~ Web günlüğüm

26 Ocak

Veri İletişimi - Güvenliği Kavramları - 1

 

Bilgi çağı, hem sosyal yapı olarak hem de bir değerler bütünü olarak tüm insanlığı değişime zorlayan bir süreçtir. Aslında uygarlığın tarihi, bilgi/veri iletişiminin tarihi olarak görülebilir. Veri iletişiminin olabilmesi için verinin sembolik bir şekilde tanımlanması temel ilkedir. Başlangıçta yalnızca basit tekniklerle yapılan veri iletişimi, uygarlıkların varoluşuna ve gelişmişliğine etki etmiş ve veri iletişimini hızlandıran yöntemler geliştirilmeye başlanmıştır. Bilgisayarın gelişimiyle oluşan ağ yapıları, veri iletişimini sağlamak için tüm dünyayı çepeçevre sarmış, veri tabanları ile devasa miktarda bilgi depolanabilmiş ve bunlara erişim sağlanmıştır. Veri iletişimi, en basit biçimiyle verilerin bir kaynaktan başka bir kaynağa hatasız olarak aktarılması sürecidir (Baykal, 2005). Veri iletişimi bilgisayar ile birçok elektronik cihaz arasında olabilir. Veri aktarımında bilgiler cihazların iletimini gerçekleştirebileceği şekilde kodlanarak aktarılır. Bilgi teknolojilerine dayalı bu aktarım teknikleri sağladığı pek çok yararla birlikte gerekli güvenlik önlemleri alınmadığı takdirde kişi ve kurumları zarara uğratabilmektedir (Eminağaoğlu ve Gökşen, 2009).
Veri güvenliği, elektronik ortamlarda verilerin saklanması, taşınması veya erişilmesi esnasında bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir veri işleme platformu oluşturma çabalarının tümüdür. Bu durumun sağlanması için,  uygun güvenlik politikaları belirlenmeli ve uygulanmalıdır. Bu politikalar, işlemlerin sorgulanması, erişimlerin incelenmesi, değişiklik kayıtlarının tutulup değerlendirilmesi, silme işlemlerinin yetkiler doğrultusunda sınırlandırılması gibi düşünülebilir ve geliştirilebilir. Bilgisayar ve veri güvenliğinde karşı taraf, kötü niyetli olarak nitelendirilen (korsan, saldırganlar) kişilerdir. Bu kişiler bilgisayar güvenliğini aşmak veya atlatmak, zafiyete uğratmak, doğrudan veya dolaylı olarak zarara uğratmak, sistemlere zarar vermek, sistemin işleyişini aksatmak, durdurmak veya çökertmek gibi amaçlarla sistemlere yaptıkları bu girişimler saldırı ya da atak olarak adlandırılır. Veri güvenliği kavramı ise; verinin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önlemek olarak tanımlanabilir (Canbek ve Sağıroğlu, 2006).
Elektronik sistemlerde karşılaşılan; dinleme, değiştirme, engelleme, yeniden oluşturma, tekrar gönderme gibi sürekli gelişen atak teknikleri vardır (Şekil 3.1). Keşif atakları; saldırı şekli olmaktan çok, arkasından yapılacak saldırılar için, hedef hakkında bilgi toplamak amacıyla geliştirilirler. Aldatma atakları (spoofing); uç birimlerin birbirine gönderdikleri paketlerde hedef-alıcı adresi ve port bilgisinin yanı sıra gönderen uç birimin adresi ve gönderdiği port bilgisini de taşımaktadır.  En çok kullanılan saldırılardan biriside “Ip Spoofing” yani sahte adres kullanma işlemidir. Bu basitçe bir kullanıcının kendi adresini gizlemesi olarak düşünülebilir; fakat diğer taraftan hedefteki makine aldığı veri paketlerine karşılık yolladığı cevap paketlerini bu sahte adreslere göndereceği için bu durum masum bir adres gizleme olarak düşünülemez. Çünkü karşı tarafa gönderilen sahte adresli birçok paket, hedef uç birim kaynaklarını birçok yanlış veya ulaşamayacağı adrese cevap paketleri göndererek harcayacaktır. Paket gözleme (sniffing); genel anlamda gidip gelen veri paketlerinin içeriğinin gözlenmesidir. Saldırgan bu şekilde ağ üzerinde aktarılan önemli bilgilere erişim sağlayabilmektedir. Ortadaki adam saldırısı (Man in the middle); temelde ARP aldatma saldırısının kullanıldığı bu yöntemde saldırgan, bulunduğu ağdaki hedef cihaz ile hedefin iletişimde bulunduğu bir başka cihaz arasındaki trafiği kendi üzerinden geçirir. Bunu gerçekleştirebilmek için iki tarafa da gönderici ip adresi olarak birbirlerinin adreslerini fakat MAC adresi olarak kendi adresini içeren sahte ARP mesajları yollar. Uç birimler gelen bu ARP paketi sonucunda ARP geçici belleklerini güncellerler. Böylece bir uç birim diğerine bir paket gönderdiğinde bu paket aradaki saldırgana, oradan da hedef uç birime iletilir (Efe, 2006; Dwork, McSherry, Nissim, ve Smith, 2006).

Şekil 3.1. Örnek Atak Şekilleri.

Elektronik ortamlarda veri güvenliğinin sağlanabilmesi için şifreleme veya gizleme teknikleri kullanılır. Bu tekniklerin dünyaca belirlenen standartlar tarafından uygunluğu sürekli kontrol edilerek geliştirilir. Veri güvenliği üzerine NIST (Ulusal Standartlar ve Teknoloji Enstitüsü – National Institute of Standards and Technology) çağın gereklerine uygun ve güvenilir şifreleme standartları oluşturan bir kurumdur. Türkiye de ise TÜBİTAK UEKAE bünyesinde faaliyet gösteren kriptoanaliz merkezi kriptografik sistemlerin analizi ve tasarımı amacıyla kurulmuştur. Artık günümüzde veri güvenliği çok daha ön plana çıkmış ve üzerinde sürekli çalışmalar yapılan bilim haline gelmiştir.

KAYNAKLAR DİZİNİ
Alakoç, Z. (1998). İşletim Sistemleri, Açık Sistemler(OSI) ve Bir Uygulama (Linux). Sivas: Cumhuriyet Üniversitesi Sosyal Bilimler Enstitüsü.
Ambainis, A., Jakobsson, M., ve Lipmaa, H. (2004). Cryptographic randomized response techniques. Public Key Cryptography, Lecture Notes in Computer Science, 425–438.
Angenendt, R., Membrey, P., ve Verhoeven, T. (2009). The Definitive Guide to CentOS. Apress.
Babaoğlu, A. (2009). Kriptolojinin Geçmişi Bir Şifreleme Algoritması Kullanmadan Önce Son Kullanım Tarihine Bakın! Tübitak Bilim ve Teknik, 24-27.
Batten, L. M. (2013). Public Key Cryptography. Hoboken, New Jersey: John Wiley ve Sons, Inc.
Baykal, N. (2005). Bilgisayar Ağları. Ankara: Sas Bilişim Yayınları.
Buluş, H. N. (2006). Temel Şifreleme Algoritmaları ve Kriptanalizlerinin İncelenmesi. Edirne: Trakya Üniversitesi Fen Bilimleri Enstitüsü.
Canbek, G., ve Sağıroğlu, Ş. (2006). Bilgi,Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme. Politeknik Dergisi, 165-174.
Conrad, E., Misenar, S., ve Feldman, J. (2010). Eleventh Hour CISSP. Syngress.
Çetin, G., ve Metin, B. (2005). Linux Ağ Yönetimi. Ankara: Seçkin Yayıncılık.
Çetin, Ö. (2006). Eliptik Eğri Kriptografisi. Ankara: Gazi Üniversitesi Fen Bilimleri Enstitüsü.
Çimen, C., Akleylek, S., ve Akyıldız, E. (2014). Şifrelerin Matematiği: Kriptografi. Ankara: ODTÜ Geliştirme Vakfı Yayıncılık.
Dahlgren, A., ve Jönsson, O. (2000). IPSec the Future of Network Security. Göteborg University School of Economics and Commercial Law, 32-35.
Devolder, I. (2012). Arch Linux Environment Setup How-to. Packt Publishing.
Dierks, T. (2008). The Transport Layer Security (TLS) Protocol. Rfc-5246.
Dinçel, T. (2011). Bilgisayar Öğreniyorum 2012. İstanbul: Kodlab Yayınları.
Dwork, C., McSherry, F., Nissim, K., ve Smith, A. (2006). Calibrating noise to sensitivity in private data analysis. TCC Lecture Notes in Computer Science, 265-284.
Efe, A. (2006). Yeni nesil internet protokolü'ne(IPv6) geçişle birlikte internet saldırılarının geleceğine yönelik beklentiler. Akademik Bilişim 2006, (s. 134 Numaralı Bildiri). Denizli. http://ab.org.tr/ab06/bildiri/134.doc adresinden alındı

Elmas, H. (2013). Bulut Teknolojisinin Uygulama Sunucularının Yönetimi ve Performansı Üzerindeki Etkisi. İstanbul: İstanbul Üniversitesi Fen Bilimleri Enstitüsü.
Eminağaoğlu, M., ve Gökşen, Y. (2009). Bilgi Güvenliği Nedir, Ne Değildir, Türkiye'de Bilgi Güvenliği Sorunları ve Çözüm Önerileri. Dokuz Eylül Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, 01-15.
Fischlin, M., Lehmann, A., ve Wagner, D. (2010). Hash Function Combiners in TLS and SSL. The Cryptographers' Track at the RSA Conference 2010 (s. 268-283). San Francisco: Springer-Verlag Berlin Heidelberg.
Gülaçtı, E. (2006). Açık Anahtar Alt Yapısı Eğitim Kitabı. Tübitak Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü.
Güngör, M., ve Evren, G. (2002). İnternet Sektörü ve Türkiye İncelemeleri. Ankara: Telekomünikasyon Kurumu Tarifeler Dairesi Başkanlığı.
Güvensan, M. A. (2006). Linux İşletim Sistemi Çekirdeği İle Bütünleşik Bir Kriptografik Sistemin Tasarımı ve Gerçeklenmesi. İstanbul: 2006.
Hobson, J. (2013). Centos 6 Linux Server Cookbook. Packt Publishing.
Hunter, P. (2004). Linux security: separating myth from reality. Network Security, 8-9.
Kahn, D. (1996). The Codebreakers: The Story of Secret Writing. Scribner.
Kanat, A. (2014, 04 25). Dağıtımlar Klavuzu. www.linux.org.tr: http://www.linux.org.tr/dagitimlar-kilavuzu/ adresinden alındı.
Kara, O. (2009). II. Dünya Savaşından Günümüze Kriptoloji: Enigmadan AES'e Şifreleme. Tübitak Bilim ve Teknik, 28-33.
Keyman, E., ve Yıldırım, M. (2014). Kriptolojiye Giriş Ders Notları . Ankara: Oddü Uygulamalı Matematik Enstitüsü Kriptografi Bölümü.
Kırımlı, M. (2007). Açık Anahtar Kriptografisi ile Sayısal İmza Tasarımı ve Uygulaması. Ankara: Gazi Üniversitesi Fen Bilimleri Enstitüsü.
Kleidermacher, D., ve Kleidermacher, M. (2012). Embedded Systems Security. Elsevier Inc.
Maurer, U. M. (1992). A universal statistical test for random bit generators. Journal of Cryptology, 89-105.
Menezes, A. J., Oorschot, P. C., ve Vanstone, S. A. (1997). Handbook of Applied Cryptography. New York: CRC.
Nabiyev, V. V. (2013). Teoriden Uygulamaya Algoritmalar. P. V. Nabiyev içinde, Teoriden Uygulamaya Algoritmalar (s. 29-39). Ankara: Seçkin Yayınevi.
KAYNAKLAR DİZİNİ (devam)
Negus, C., ve Johnson, E. F. (2009). Fedora 10 and Redhat Enterprise Linux. Indianapolis: Wiley Publishing Inc.
Öğün, M. N., ve Kaya, A. (2013). Siber Güvenliğin Milli Güvenlik Açısından Önemi ve Alınabilecek Tedbirler. Güvenlik Stratejileri Dergisi, 145-181.
Özbilen, A. (2013). Linux Sistem ve Ağ Yönetimi. İstanbul: Pusula Yayınları.
Panek, W., ve Wentworth, T. (2010). Mastering Microsoft Windows 7 Administration. Indianapolis: John Wiley & Sons Publishing.
Rankin, K. (2012). DevOps Troubleshooting. Pearson Education Inc.
Robichaux, k. (2005). The Definitive Guide to Exchange Disaster Recovery and Availability. Realtime Publishers.
Sarıkaya, K. (2012). Ssl/Tls Protokolü İçin Parolaya Dayalı İstemci Doğrulamanın Elgamal Ve Chebyshev Polinomları İle Gerçekleştirimi. Ankara: Hacettepe Üniversitesi Fen Bilimleri Enstitüsü.
Silberschatz, A., Galvin, P. B., ve Gagne, G. (2013). Operating System Concepts. John Wiley & Sons Inc.
Stair, R., ve Reynolds, G. (2009). Fundamentals Of Information Systems. Boston: Cengage Learning.
Thomas, S. A. (2000). SSL & TLS Essential Securing the Web. Canada: John Wiley & Sons Inc.
Tuncal, T. (2008). Bilgisayar Güvenliği Üzerine Bir Araştırma ve Şifreleme Deşifreleme Üzerine Uygulama. İstanbul : Maltepe Üniversitesi Fen Bilimleri Enstitüsü.
Tutkun, H. K. (2012). Network Sistemleri Sistem Yöneticisinin El Kitabı. Ankara: Seçkin Yayıncılık.
Ulutürk, A. (2010). Gelişmiş Şifreleme Standardı. Ankara: Gazi Üniversitesi Fen Bilimleri Enstitüsü.
Vacca, J. R. (2013). Computer and Information Security Handbook (Second Edition). Syngress.
W3techs. (2014, 04 01). Usage of operating systems for websites. W3techs.com: http://w3techs.com/technologies/overview/operating_system/all adresinden alındı.
Wikipedia. (2013, 12 20). Eniac. 02 14, 2014 tarihinde Wikipedia: http://tr.wikipedia.org/wiki/ENIAC adresinden alındı.
Wikipedia. (2014, 03 17). Tabulating_machine. 03 27, 2014 tarihinde Wikipedia: http://en.wikipedia.org/wiki/Tabulating_machine adresinden alındı.