Gönderen: bekirdurmaz | 7 Temmuz, 2009

Vontu’ya Türkçe Desteği

Symantec Vontu DLP ürününe Türkçe içerik tanımlayabilme ve anlama desteği ekledi. Böylece ürünün Türkiye pazarına da hızlıca girmesini bekliyorum. Malesef yönetim arayüzü şimdilik sadece İngilizce olarak devam ediyor.

2010 yılında bolca DLP konuşuyor ve çalışıyor olacağız diye tahmin ediyorum. Firmaların Ankara ve İstanbul’da gerçekleştirdiği DLP etkinlikleri de genel odağın yönünü belirlemiş oluyor. Şu an bu ürün sınıfında bence pazar liderleri konumundaki Websense ve Symantec son 2 senedir DLP ürünlerini ciddi biçimde geliştirmek, tanıtmak çabasındalar ve başarılı oluyorlar.

how_dlp_works

Tam boy için resme tıklayın...

Veri Sızması Engelleme (Data Loss Prevention) ürünleri ile ilgili diğer yazıma ve bilgiye bu linkten ulaşabilirsiniz:

http://bekirdurmaz.net/2008/07/21/kimin-dlpsi/

Yorum Yapın

Güvenlik kategorisinde yayınlandı | Etiketler:, , , , , ,

Gönderen: bekirdurmaz | 25 Aralık, 2008

ClickJacking

click-meHepimizin sık sık önüne çıkan, günümüzde ummayacağımız sitelerde bile tuzağına düştükten sonra ancak farkedebildiğimiz bir suistimal/saldırı tekniğini sizlere hatırlatmak istedim. Tekniğin adı esasen çok orjinal, çok seviyorum, iyi bir üretim: ClickJacking.

ClickJacking yeni bir terim sayılır, adı Eylül 2008′de bir konferansta kondu. Yeni bir saldırı türü idi bu, tüm browserlarda bulunan açıkları kullanarak sayfada o an görüntülüyor olduğunuz herhangi bir bağlantıya (linke) sahip metnin veya resmin (ve artık Flash dosyalarının da) bu hedef bağlantısını manipüle ederek hackerın sizi istediği siteye doğru çekmesi işine ClickJacking denildi.

Sonrasında kavramın içine aslında uzun zamandır uygulamada olan bazı yöntemler de dahil edildi; bunlara da suistimal diyelim. Örneğin size evet/hayırlı ya da OK/İptalli bir soru soran kutu yüzünden bilgisayarınıza istemediğiniz zararlıların (malware) girmesi gibi. Ya da web sitesinin sağ alt köşesinden yükselen güzel bir kızın MSN’de online olduğuna dair küçük MSN pencereciğine tıklayarak bir numara çevirici (dialer) indirmeniz gibi. Ya da bir Windows penceresi gibi görünen tam bir resmin sağ üst köşesindeki X düğmesinden pencereyi kapatmaya çalışırken aslında resmin içindeki linke tıklıyor olmanız gibi. Örnekler çoğaltılabilir; 10′larca browser penceresi açılmasından tutun webcam ile mikrofonunuzun ele geçirilmesine kadar gidebilir. Sonuçta bu atak ne bir  Cross-Site Scripting (XSS) atağı ne de cross-site request forgery (XRSF) atağıdır, ancak browser manipülasyonu ile istenilen zararlı kodlar, masum bağlantılara tıklamanız yüzünde sizin bilgisayarınızda çalışmaktadır.

Peki nasıl korunabiliriz? Adobe, Flash yama seviyesini kontrol edecek bir güncellemeyi çoktan yayınladı ama bu yama Microsoft uygulamalarını kapsamıyor, diğer uygulamalar için çalışmakta. Web tarayıcınızı korumak ise biraz daha zor çünkü henüz bilmediğimiz potansiyel açıklar ve bunları kullanabilecek birçok atak parametresi var. Şu an için en temiz yöntem Firefox ve üzerine kurabileceğiniz No-Script eklentisi. Bu eklentinin ClearClick özelliği sayesinde sayfadaki transparan ya da gizli pencereleri görebilir, ve bir script çalıştırılmaya çalışıldığında engellenmesini sağlayabilirsiniz.

ClickJacking bir tuzak; ama tarayıcınızın bunu anlaması mümkün değil. Tıklamalarınız sonucunda çalıştırılacak script, sizin kendi talebinizmiş gibi algılanıp web tarayıcınız tarafından bu talep yerine getirilecektir. Dolayısıyla neye tıkladığınıza sizin dikkat etmeniz ve bu tuzağa düşmemeniz gerekmektedir :)

Sevgilerle

1 Yorum

Güvenlik kategorisinde yayınlandı | Etiketler:, ,

Gönderen: bekirdurmaz | 19 Aralık, 2008

Internet Explorer’ın Açığı ve Etkileri

Çok ilginç şeyler oluyor, kısa kısa paylaşayım.

  • Hackerlar yeni (dün) patchlenmiş olan bu açığı istismar etmeye devam ediyorlar. Hedefte henüz patch’i uygulamamış kullanıcılar var. Kullanılan yöntemlerden birisi olan Word dokümanları içine zararlı ActiveX kodları ekleyerek yaptıkları bu iş bir ilke imza atıyor. Yeni olan Word içinde zararlı ActiveX kodu göndermek değil, yeni olan bu ActiveX kodu sayesinde hackerın sunucusunu pinglemek. Cidden innovative (tam Türkçesini bilen varsa söylesin :) ) bir yaklaşım olmuş. E-posta ile gelen spam ve eklere ve bilinmedik sitelerden gelen dosyalara karşı biraz daha dikkatli olmak gerekecek. Yoksa çok kolay bir şekilde, sizin bilgisayarınız da bu zararlıları dağıtan bir sunucu haline gelebilir.
  • Hackerların bu açığı kullanmaya başladıkları bilinen tarih 9 Aralık ve açığı ilk keşfeden McAfee imiş.
  • Hasar raporu : 2 milyon kişi bu açıktan etkilenmiş. 10.000 site üzerinden bu açığı istirmar eden zararlılar yayılmış.
  • IE ile Gmail kullananlarınız belki görmüştür. En üstte “Get Faster Gmail” şeklinde bir link görünmektedir (diğer tarayıcılarda görünmüyor). Açılan linkte daha hızlı bir Gmail için Firefox ya da Chrome kullanılması tavsiye edilmekte. Böyle bir yaklaşıma gidecek kadar Google’ı zorlayan ne oldu acaba? Alışkın değiliz, ne de olsa dünyanın %70′i IE kullanıyor.gmail_faster
  • Browse dünyasında bu kadar aksiyon dönerken Bit9′un Firefox’u güvensiz olarak nitelemesi Firefox geliştiricilerini birazcık çıldırtmış. Mozilla’nın güvenlik bölümünden Johnathan Nightingale’den Bit9′a cevap : “Her ne kadar kullanıcıları güvenlik konusunda uyaran araştırmaları memnuniyetle karşılıyor olsak da, Bit9′un araştırması için kullandığı metodun anlamlı sonuçlara ulaşmaktan çok uzakta olduğunu görüyoruz. Bu araştırma, bulunan açıkları dürüstçe duyuran  bir şirketi cezalandırmak anlamına gelirken, açıkları gizleyen  şirketlerin de ödüllendirilmesi ile eş değerdir. Halbuki açıkları gizlemek, riski artıran en büyük ihmaldir. Yapılan araştırmada güncelleme performansına dikkat edildiği söylense de –ki biz buna ihtimal vermiyoruz- sonuçların gerçek hayatla hiçbir ilgisi bulunmamaktadır. Biz Windows Update  üzerinden güncelleme dağıtmıyor olabiliriz; ancak Firefox’un kendi dahili güncelleme sistemi  kusursuz çalışmaktadır. Bunun en güzel kanıtı ise, yayınlanan son güncellemelerin, sadece birkaç gün içerisinde yüzde 90 oranında  kullanıcımız tarafından kurulmuş olduğu gerçeğidir.
    Oturup açıkları saymak ne yazık ki çok kereler karşımıza çıkan bir yöntemdir ve bu yöntem asla gerçeği yansıtamaz. Bu yöntemi kullanmak kolaya kaçmaktan başka bir şey değildir. Raporda bahsedilen açıkların büyük kısmı, Firefox’un yeni sürümünün piyasaya çıkmasından sadece birkaç gün sonra zaten kapatılmıştır. Yayınlanan son güncelleme paketi ise bilinen tüm açıkları kapatmaktadır. Bundan sonra da ortaya çıkacak muhtemel açıklar, kimseden gizlenmeden, kısa süre içerisinde kapatılmaya devam edilecektir.”     Yerinde bir açıklama olmuş bence de.

Sevgilerle

Yorum Yapın

Güvenlik kategorisinde yayınlandı | Etiketler:, , , , , , ,

Gönderen: bekirdurmaz | 17 Aralık, 2008

Kaç Kaç, Internet Explorer !

1083082Son zamanlarda Internet Explorer 7.0 ciddi ataklara maruz kalmakta. Zero Day atakları dediğimiz daha önce ortaya çıkarılmamış, belirli bir yaması, çözümü, geçmişi olmayan bu ataklar Windows XP SP2′den başlayıp Windows Server 2008′e uzanan bir aralıkta etkili oluyor (yani herkeste :) . Eski versiyonlar da potansiyel tehlike altında (IE 5.0, 6.0).

Microsoft’tan resmi bir teknik yazı yayınlanmış durumda ( http://www.microsoft.com/technet/security/advisory/961051.mspx ).  Bu yazıdan bir kesit ile işin ciddiyetini sizlere bildirmeye çalışayım, ki linke göz atmamazlık etmeyin : “The vulnerability exists as an invalid pointer reference in the data binding function of Internet Explorer. When data binding is enabled (which is the default state), it is possible under certain conditions for an object to be released without updating the array length, leaving the potential to access the deleted object’s memory space. This can cause Internet Explorer to exit unexpectedly, in a state that is exploitable”. Henüz resmi bir yama yayınlanmış değil, ama sanırım bugün yarın bir tane çıkaracak. En son 6 tane birden çıkarmıştı ama nafile kalmıştı biraz. Umuyoruz ki bu sefer olacak.

Eğer Internet Explorer’ınız ile başınız dertte ise bu linkte bahsi geçen dolaylı yöntemler ile durumu biraz düzeltme şansınız var : http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9123226

Ya da biz IT güvenlikçileri gibi hiç bulaşmazsınız IE kardeşimize; Firefox, Safari, Opera, Chrome gibi 3. parti tarayıcılar kullanırsınız. Bu kadar tasanız olmaz. Benim bilgisayarlarımda hala Explorer 6.0′da durur, ne olur ne olmaz, çalıştırmasan da bişeyler olabilir belki, eskisi iyidir mantığı :)

2 Yorumlar

Güvenlik kategorisinde yayınlandı | Etiketler:, , , , , ,

Gönderen: bekirdurmaz | 22 Kasım, 2008

Flash Disk Virüsleri

flashburgerBu aralar herkesin başının flash disklere zıplayarak her tarafa kendini yayan virüslerle dertte olduğunu görüyorum. Bazı kurumlarda ciddi iş ve zaman kaybına yol açan bu virüsleri kurum çalışanlarıyla birlikte nasıl temizleyeceğimizi durduracağımızı konuştuk. Binlerce varyant ile virüs gündemini şu an için en çok meşgul eden kategorideler ve cidden baş belası durumundalar. Kurumlardaki IT çalışanlarının bana aktardığı ortak bir tecrübe var. Bu virüsleri Kaspersky anti-virüs’ten başka birşey temizleyemiyor diyorlar. Ben de bunun üzerine elimdeki anti-virüs paketleri ile denemeler yaptım ve söylediklerinde haklı olduklarını gördüm. Çoğu diğer anti-virüs yazılımı sürekli birşeyler bulup, bunları Silly.DC grubu altında tanımlayıp karantinaya alsa da yeniden türüyorlar. Dolayısıyla zararlıyı oluşturan arka plandaki işlemi bulamıyorlar.

Kaspersky’nin ayarları ile oynayıp bulduğu dosyalar üzerinde işlem yapmamasını ancak bana uyarı vermesini sağladım ve tarama başlattım. Her bulduğu dosyayı .rar’ladım, .rar’a da şifree verdim ve tamamen encrypt ettim. Sonra içinde başka bir anti-virüs yazılımı olan bilgisayar da rar’ı açtım ve şaşırtıcı an geldi, anti-virüs dosyayı hemen sildi. Bu birkaç anti-virüs için de aynı şekilde gelişti. Yani anti-virüsler dosya çalışmıyorken/aktif değilken ne olduğunu tespit edebiliyorlar ancak virüs sistemde aktifken yapılan taramalarda bulamıyorlar. Bu duruma mantıklı bir cevap vermek zor, tek akla gelen rootkit kullanılma durumu. Başka bir ilginç durum ise Kaspersky bu virüslerin ayrı ayrı isimlerini biliyor ama diğerleri bilmiyor. Diğer anti-virüsler bu zararlıların hepsine birden Silly.DC ya da Gammina ismini veriyor. Ki bu ilginç durumun açıklaması belli ama ben burada yapmayacağım :)

Peki nasıl bir yol izledik? Aktif/pasif problemi yüzünden, benim sistemlerden aldığım zararlıları, anti-virüs üreticilerine göndermemin bir anlamı kalmadı malesef. Çünkü zaten dosya pasif iken virüs olarak tanımlanabiliyordu. Bulaşmasını nasıl önleriz diye düşünürken Symantec’in Endpoint Protection ajanı içinde mevcut bulunan Application Control bileşeni aklımıza geldi. Bu bileşen ile tüm flash disk türevi cihazlar üzerinde autorun.inf dosyasının okunması işlemini bloke ettik. Böylece flash disk virüslü olsa bile sisteme bulaşmıyordu. Virüslü sistem de bu autorun.inf dosyasını flash disk’e oluşturamaz oldu. Buna ek olarak flash disk içinden program çalıştırmayı da engelledik.

Bu bulaşma yöntemi ile ilgili biraz daha detay vermek istiyorum. Flash diskinize çift tıkladığınızda Windows “ne ile açayım” penceresi açıyorsa, gizli dosyalarınızı göremiyorsanız, C: diskinizdeki klasöre çift tıkladığınızda, öyle ayarlanmamış olmasına rağmen, yeni pencerede görüntüleniyorsa ve/veya bunlarla beraber sisteminiz ciddi performans sıkıntısı çekiyorsa muhtemelen bu virüslerden birisi sisteminizde aktif durumda demektir. Eğer yabancı bir flash diski ya da USB hard diski sisteminize bağlayacaksanız korkmayın, Shift tuşuna basarak diski takın/bağlayın ve bir müddet bekleyin (sistemin diski taradığından ve de otomatik çalıştırma işi yapmaktan vazgeçtiğini anlayana kadar). Böylece Windows otomatik çalıştırma işlemi yapmayacaktır ve virüs sisteminize bulaşmayacaktır. Sonrasında bir komut satırı açın, flash diskin bağlandığı sürücü harfine gidin (e:, f:, g: gibi). “dir /a” komutu ile tüm dosyaları görüntüleyin. Eğer autorun.inf dosyası görüyorsanız disk virüslü demektir. Ancak autorun.inf virüsün kendisi değildir. O sadece virüsü bulaştıracak işlemi başlatmak için oradadır. Dolayısıfla x.com, y.bat, z.js, boot.exe gibi tanımayacağınız, karışık isimlere sahip, orada olmaması gereken dosyalar da olmalı. Hem autorun.inf’yi hem de bu gereksiz dosyaları silin (tekrar hatırlatayım, bunları windows explorer ile göremezsiniz). Normal “del x.com” komutu ile muhtemelen silemeyeceksiniz. “del /A:s x.com” ya da “del /A:h x.com” komutlarını deneyin. Bunlarda çalışmazsa, file shredder benzeri bir tool ile silmeniz gerekebilir. Ya da benim yaptığım gibi cygwin paketini kurabilir, windows komut satırından unix komutlarını çalıştırabilirsiniz (ilgili komut : “rm -rf x.com”).

Son haber ise Pentagon’dan. İkinci bir emre kadar flash disk kullanımı penragon’da yasaklanmış. Sebebi ise sisteme dadanmış bir varyant. Referans : http://www.kauz.com/news/local/34919349.html

Büyük anti-virüs yazılımcılarının bu işe acil çözüm bulmaları şart, onlar da farkında zaten, biz de beklemedeyiz mecburen.

3 Yorumlar

Güvenlik kategorisinde yayınlandı | Etiketler:, , , , , , , ,

Gönderen: bekirdurmaz | 22 Kasım, 2008

Microsoft Morro Büyükleri Kızdırdı

microsoft_live_onecare_103x1312009′un ikinci yarısından itibaren Morro isimli projesini kullanıcılara sunmaya hazırlanan Microsoft, XP, Vista ve Windows 7 kullanıcılarına bedava anti-virüs dağıtacak. Bir süredir gündemde olan proje hakkında Symantec, McAfee gibi devler açıklama yapmamışlardı. Ancak onlarda artık dayanamamış.

Endişelerini dile getiren bu yazılım firmalarına Morro’nun proje yöneticisi Amy Barzdukas bir açıklama yapmış. Ürünün sadece ve sadece zararlı yazılımları önlemeye yönelik olduğunu, Symantec ve McAfee gibi şirketlerin güvenlik paketlerine rakip olmak gibi bir niyetlerinin bulunmadığını söylüyor. Morro’nun hedef kitlesi, anti-virüs’e para vermek istemeyen kesim. Ancak bu kesimin oranı %50-60 ve hiç azımsanacak bir rakam değil. Ama bu büyük yazılım devlerinin bu çıkışı bence gereksiz. Çünkü zaten bedava anti-virüs dağıtan birçok yazılımcı vardı ve zaten bu şikayet edip etmeme konusundaki devler, işin anti-virüs yazılımı ile yürümeyeceğinin, komple güvenlik paketlerine ihtiyaç duyulduğunun farkında. Hatrı kalmasın diye çıplak anti-virüslerini raflardan kaldırmıyorlar henüz; fakat onun da zamanı yakındır diye düşünüyorum.

Microsoft’un hali hazırda sunduğu Defender, Live OneCare ve Forefront gibi yazılımlarının da gidişatını etkileyecek olan Morro’nun ne kadar başarılı olacağını merakla bekliyorum.

Yorum Yapın

Güvenlik kategorisinde yayınlandı | Etiketler:, , , , , , , , , , , , , ,

Gönderen: bekirdurmaz | 15 Kasım, 2008

Secunia’nın araştırması

secunia_logoBağımsız bir araştırma firması olan Secunia’nın yaptığı ve benim görüşümle de örtüşen bu incelemeyi sizlere aktarmam gerekiyordu. Aralarında Microsoft’un Forefront’undan AVG antivirüse, Symantec, McAfee, Trend Micro ürünleri de dahil olmak üzere 12 anti-virüs ve anti-spyware ürünü üzerinde yapılmış bir test söz konusu. Testte 300 değişik saldırıya maruz bırakılan bu yazılımların ne kadar direnebildiği, bulundukları sistemleri ne kadar koruyabildikleri inceleniyor. Testin en can alıcı ve önemli noktası, bu ürünlerin hepsinin ciddi seviyede başarısız olmaları. İçlerinde en başarılısının Symantec’in Norton (NIS) ailesinin son sürümü olduğu ortaya çıksa da, bu saldırıların 300′ünden sadece 64′ünü tespit edebiliyor, yani sadece %21′ini. Daha daha vahimi, hemen ikince sırada NIS’i takip eden Trend Micro’nun IS 2008′i %2.3′lük bir başarı oranına sahip!!! McAfee’de yaklaşık %2, Microsoft %1.8 gibi oranlarda duruşlarını korurken, geriye kalanlar pek varlık gösterememiş. Referans : http://secunia.com/blog/29/

Öte yandan sadece virüs/trojan (ve diğer zararlıları) gibi statik tehlikeleri tespitte ise bu testteki 4 üretici malesef çok geride kalıyor. Bunun kimin daha çok virüs yazdığı ile alakası olma ihtimali yüksek olsa da pek göz ardı edilecek bir durum değil. Kurumsal ortamda kullanmanın mümkün olmadığı, bedava dağıtılan ya da merkezi bir yönetim sağlamayan ya da anti-virüslükten başka hiçbir iş yapamayan bu yazılımlara nasıl oluyorda bu büyük üreticiler zararlı temizleme konusunda kafa tutamıyorlar? Sanırım tutmak istemiyorlar. Onlar vizyonlarını ortaya koymayı tercih ediyorlar, sektörü yeni trendlere çekmeye çalışıyorlar. Ve bence en doğrusunu yapıyorlar. Bundan 5 sene sonra etrafta hiç virüs falan kalmama ihtimali de var elbette. Bu durumda işin rengi değişecektir.

Hepimiz virüssüz, aşılı, sağlıklı Windows istiyoruz.

1 Yorum

Güvenlik kategorisinde yayınlandı | Etiketler:, , , , , , , , ,

Gönderen: bekirdurmaz | 10 Kasım, 2008

Symantec’ten Duyurular

symantec-logoMevcut Anti-virüs ve Anti-Spyware altyapısında zaten tek bir ajanda birçok işi kıvıran SEP/NAC (Symantec Endpoint Protection / Network Access Control) bununla yetinmeyecek gibi görünüyor. Bilgisayarlarımız hızlandıkça yazılım devleri de vizyonlarını daha rahat ortaya koyabilmeye başladı. Bundan 2-3 yıl önce hiç kimse bilgisayarına ekstra bir şey yüklemek istemezken, aman Windows sistem çubuğunda çok ikon olmasın onlar RAM yiyor derken, şimdi yeni bilgisayarlardan ve Vista’lardan envayi çeşit program çıkmasına rağmen dizüstü bilgisayarlarımız bile bana mısın demiyor.

Peki zaten halihazırda Anti-virüs, Anti-spyware, Firewall, IPS, Application & Device Control, E-Posta Filtresi ve NAC işlevi gören bu ajana daha ne eklenebilir diyorsanız, ciddi manada önemli 2 bileşen eklenecekmiş.

1. DLP Bileşeni : Symantec yakın geçmişte Vontu’yu satın aldı ancak SEP’in içine eklenecek bu ajan için duyuruda Vontu ismi geçmiyor. Elde edilen know-how ile birşeyler oluşturulmaya çalışılıyor gibi. Peki ne kazandıracak? Bir katman daha güvenlik! Kurumsal verinin dışarıya sızdığı noktaların %80′i kullanıcıların bilgisayarları. İşte bu bileşen ile veri sızması koruması yapılmaya çalışılacak (data leak prevention). Bağlandığınız web sayfalarından, gönderdiğiniz e-postalara; yazdırdığınız dökümanlardan aldığınız ekran görüntülerine kadar izleniyor olacaksınız :) Tamam biz IT’ciler için kulağa hoş gelmiyor ama olsun, kurum güvenliği söz konusu oldumu akan sular durur !!!

2. Son Kullanıcı Yönetim Bileşeni : Bu öyle bir bileşen ki, bir IT ordusunu kurumunuzda barındırmaktan sizi kurtarabilir. Bileşenin ne kadar derinlemesine olduğuna bağlı olarak tabi. Altiris’i bilen bilir; yine yakın zamanda Symantec bünyesine kattı kendilerini. Altiris’in “desktop-management agent” diye adlandırdığı bileşeni de SEP’e eklenecekmiş. Aslında dolaylı olacakmış bu iş. Yani Altiris’in bu bileşeni DLP ajanına eklenecekmiş, o ajan da SEP’e eklenecekmiş. Peki bizi ne gibi zahmetlerden kurtarabilir? Bir platform düşünün (bir PC mesela) o PC’de ne yapıyorsanız, tüm ağınızda gerçekleşsin. Program kurdunuz, herkeste kurulsun; kaldırdınız, kaldırılsın; registry’den bir değer sildiniz, herkesten silinsin; yazıcı tanımladınız, herkese tanımlansın vb. gibi. Ayrıca envanter yönetiminizi de yapsın. Daha ne istenir ki?

Aslında benim bir isteğim (hayalim) daha vardı ama herhalde hem teknik hem stratejik nedenlerden dolayı gerçekleşmeyecek. O da Symantec Endpoint Encyption ajanının da SEP ile birleşmesi idi.

Küçük bir haber de Symantec Mail Security’nin (Brightmail Gateway) 8.0 versiyonunun 2009 ilk çeyrekte çıkması bekleniyor.

Gelişmeleri takip ediyor olacağız, umduğumuz gibi işlevsel ve performanslı olmaları dileğiyle.

Referans:http://www.networkworld.com/news/2008/100708-symantec-dlp-antispam-updates.html

Yorum Yapın

Güvenlik kategorisinde yayınlandı | Etiketler:, , , , , , , ,

Gönderen: bekirdurmaz | 27 Ekim, 2008

NAC ve En Yaygın NAC Çözümleri

NAC (Network Access Control) Nedir?

NAC (Network Access Control), kullanıcı odaklı, ağ tabanlı erişim kontrolüdür. Kullanıcı odaklıdan kasıt, kullanıcıların bazı politikalara tabi tutulması ve bu doğrultuda denetlenmesi ve yetkilendirilmesidir. NAC kelime anlamı itibari ile ağa erişimi kontrol altında tutmaya çalışmak olsa da uygulamanın yan etkisi olarak kullanıcıların bilgisayarlarının belli bir standarda getirilmesi de var. Kendi kullanıcılarınız da NAC politikalarınızdan geçmek durumunda olduklarından ve işlerini sürdürebiliyor olmaları gerektiğinden; bu politikaların sonucuna göre ağa kabul et ya da ağ dışı bırak seçeneklerinin yanına bir seçenek daha koymak gerekiyor. En ufak bir sorunda kullanıcınızı ağ dışı bırakmak istemiyorsanız politikanızın gereği olan işlemi otomatize edip hemen kullanıcınıza yardım etmeniz gerekiyor.

Denetleme ve Yetkilendirme

Sistemin kullanıcı odaklı olmasından yola çıkarak, üreticiler genelde son kullanıcıların bilgisayarlarına yükledikleri ajanlarla derinlemesine kontroller yapmaktadırlar. Üreticilerin kullandığı ve standartlaştırdıkları jargon ile “Endpoint Security Assessment” ya da “Host Integrity Check” işlevlerini yerine getiren bu ajanlar, kullanıcının bilgisayarını kontrolden geçirirler. Detaylı politikaları bir kenara bırakacak olursak, genel kontrol noktaları kullanıcının işletim sistemi, üye bulunduğu ağ ve NAC ajanının varlığı olmaktadır. Bu üç ön kontrolü geçemeyenler hemen kurumsal ağdan izole edilmekte veya tamamen bağlantısız bırakılmaktadırlar. Ön kontrolü geçenler zaten NAC ajanı çalışan bilgisayarlar olduğundan, yine bu NAC ajanı sayesinde geriye kalan detaylı politikayı gözden geçirirler. Politikayı geçen bilgisayar sorunsuzca ağına dahil olurken, geçemeyenler iyileştirme (remediation) sürecine girerler.

Yetkilendirme opsiyonları MAC adresi tabanlı, switch portu tabanlı ya da harici bir yetkilendirme mekanizması (veya bunların kombinasyonları) üzerinden yapılabilmektedir. 802.1x’li çözümler sayesinde switch portunuzun dahil olduğu VLAN’ı dinamik olarak değiştirebilir ya da portu komple kapatabilirsiniz. Paket filtreleme veya firewall’dan geçirme gibi çözümler de sunan üreticiler bulunmaktadır.

NAC Çözümü Üreticileri

Symantec, Juniper, McAfee, Bradford Networks, Cisco, Nortel, Trend Micro, Checkpoint, SonicWall, Identity Engines Inc, ForeScout Technologies, Impulse Point, Napera Networks, NetClarity, Rohati Systems, TippingPoint gibi üreticilerden bazıları hem cihazlı hem de cihazsız çözümler sunarken bazıları da sadece yazılımsal çözümler sunuyorlar.

Şu anda Türkiye’de en çok tercih edilen NAC çözümü Symantec’in çözümü. Aslında çözümleri demek gerek. Çünkü SEP (Symantec Endpoint Protection) altyapısını kullanan ve aynı altyapı üzerinden çalışan bu NAC çözümü, 4 çeşit uygulama (enforcement) olanağı tanıyor. Cihazsız uygulama olarak “Self Enforcement” öneren çözüm, SEP’in güvenlik duvarı ile uygulama ve aygıt kontrol bileşenleri üzerinden çalışıyor. Geriye kalan “Gateway Enforcement”, “Dhcp Enforcement” ve “802.1x LAN Enforcement” seçenekleri ise ekstra bir cihazla beraber kullanılabiliyor. En üst düzeyde de 802.1x’li çözüm öneriliyor. Çünkü ancak bu çözümle birlikte sizin ağ yapınızı bilen biri bile statik IP vererek de olsa ağınıza giriş yapamıyor. Dissolvable ajanı sayesinde VPN ya da kablosuz bağlantılar ile ağlarınıza yapılan erişimleri de kontrol altında tutabilirsiniz. Bu çözümle beraber yazıcılarınızın, IP kameralarınızın vb. gibi cihazlarınızın MAC adresleri switchlere tanımlanabiliyor ve muaf tutulabiliyor.

Bu durumda bu MAC adreslerini iyi saklamanızda fayda var :)

Sevgilerle.

3 Yorumlar

Güvenlik kategorisinde yayınlandı | Etiketler:, , , , , , , , , ,

Gönderen: bekirdurmaz | 27 Ekim, 2008

McAfee’den NAC Cihazı Duyurusu

Uç nokta güvenliğinde yeni bir haber okudum. Sizlerle paylaşmak istedim. McAfee de bir NAC cihazı üretmeyi gündemine almış gibi görünüyor. Habere göre McAfee’nin mevcut IPS cihazılarının (IntruShield) üzerinden NAC politikası uygulama işi yapılabilecek. 2009′un ilk çeyreğinde ise bu işe özelleşmiş bir NAC enforcer’ı piyasaya süreceklermiş.

Okuduklarım bana bu cihaza rağmen mevcut rakiplerine üstünlük sağlayacak ya da NAC teknolojisine yenilik getirecek bir durumun olmadığını söylüyor. Çünkü bu kavram belirli bir süredir geliştiriliyordu. McAfee’nin mevcut üreticilerden birini bünyesine katacağını zannediyordum ama kendileri üretmeye karar vermişler. Başarılar dilemekle birlikte, bence geç kalmış bir hamle olacak ama ilgiyle takip ediyor olacağım.

Detaylı bilgi için : http://www.networkworld.com/reviews/2007/073007-test-nac-mcafee.html?page=1

Yorum Yapın

Güvenlik kategorisinde yayınlandı | Etiketler:,

Eski Gönderiler »

Kategoriler