ADSL Modem ve Kablosuz Ağ Güvenliği

ADSL Modem Güvenliği için:

1. İlk iş olarak ADSL modemin yönetim amaçlı web arayüzü şifresini mutlaka değiştirin. Bu şifre modem üreticileri tarafından varsayılan olarak belirlenmektedir ve saldırgan tarafından birkaç denemeyle bulunabilir.
Genelde kullanılan şifreler: admin, epicrouter, password, zoomadsl, boşluk, conexant, DSL, root, 1234, vs.. şifre güvenliğini sağlamak için bir şifre en az aşağıdaki özellikleri sağlamalıdır:
* Güvenli bir şifre en az 8 karakterli olmalıdır,
* Şifre, karmaşıklık gereksinimlerini sağlamalıdır; bunun için şifrede en az birer adet büyük harf, küçük harf, rakam ve özel karakter (. , * ! gibi) bulunmalıdır. Örnek : 2h4KdG!f
* Güvenli bir şifre, sözlüklerde bulunan bir kelime, isim, şehir veya tarih içermemelidir, yani şifre tamamen anlamsız bir karakter topluluğu olmalı ve asla tahmin edilememelidir.

NOT: Bütün bu önlemlerin birinci amacı Brute Force (Kaba Kuvvet) Ataklarından korunmaktır. Bu tip saldırıların temel mantığı, mümkün olan bütün ihtimallerin sırayla denenmesidir. Sıradan bir brute force programının saniyede milyonlarca şifre deneyebildiğini düşünürseniz basit şifrelerin ne kadar kolay çözülebildiğini de anlamanız zor olmaz. Programın saniyede 1 milyon şifre denediğini varsayarsak, sadece rakamlardan oluşan 1 ile 5 karakter arası bir şifrenin kırılması 1 saniye bile sürmeyecektir çünkü bu şekilde oluşturulabilecek toplam şifre sayısı 99999 adettir. Bu 5 karakterli şifreye sadece bir tane harf eklerseniz bu sayı yüzlerce kat artacağı için kırılma ihtimali de o kadar azalacaktır.

2. ADSL modemde kesinlikle DHCP özelliğini devre dışı bırakın. Yani asla otomatik IP dağıtmayın. Ağınıza bağlanan bir kişi IP ayarlarını otomatik olarak alamasın.

3. Varsayılan yerel ağ IP yapılandırmasını değiştirin. Genelde varsayılan olarak modemde 192.168.1.1, 192.168.2.1, 10.0.0.1 gibi private IP'ler kullanılır. Bu IP'leri 192.168.x.x veya 10.x.x.x şeklinde rastgele değiştirebilirsiniz. Örneğin: 192.168.34.76 veya 10.222.35.98 gibi. Bilenler için alt ağ maskesini de (subnet mask) değiştirmelerini öneririm ama fazla bilmeyenler varsayılan şekliyle bırakabilirler. Buradaki asıl amaç, network IP konfigürasyonunuzun tahmin edilememesi.

4. Modeme internet üzerinden hiçbir şekilde erişilememeli. Bunun için varsa modemin firewallunu açın, yoksa yönetim amaçlı http, telnet veya SNMP gibi protokolleri internete kapatın. Mümkünse içerden sadece kendi IP adresinize yönetim için izin verin.

5. Modemde MAC adres filtrelemeyi kullanın. Bu şekilde sadece ağınızda kendi tanımladığınız PC'lerin bağlanmasına izin vermiş olursunuz. (Tabi burada normal şartlardan bahsediyoruz, işin aslı; saldırgan, ağınızda kullanılan MAC adreslerini tesbit edip - her ne kadar MAC adresleri değişmez sanılsa da - kendi MAC adresini sizin izin verdiğiniz adreslerle kolaylıkla değiştirebilir. Biz en azından işini zorlaştırmış oluyoruz. Hiç güvenlik olmamasından iyidir.)

Kablosuz Modem Güvenliği İçin İlave Tedbirler:
Modeminiz kablosuzsa ve bütün tehlikelere rağmen ille de kullanmak istiyorsanız yukardaki maddelere ilave olarak şu önlemleri de mutlaka almalısınız:

1. SSID (kablosuz ağınızın adı) mutlaka gizleyin. Bu yöntemle en azından piyasadaki bir sürü kurbandan biri gibi olmazsınız, saldırgan en azından önce SSID'nizi bulmak için uğraşmak zorunda kalır. Tabi bir sürü SSID görünürken sizinle uğraşmak ister mi bilemem.

2. Güçlü bir kriptolama yöntemi kullanın, sakın WEP kullanmayın, kırılması çok kolay ve birçok sitede yöntemleri bulabilirsiniz. WPA veya WPA2 kullanabilirsiniz. Bunda da en az 40-50 karakterli karmakarışık rastgele bir şifre belirleyin. Bu şifreyi ezbere bilmeniz gerekmiyor, şifreyi modeme yazdıktan sonra kopyalayıp bilgisayarınızda tanımlayacağınız profilde Ağ Anahtarı (PSK: Pre-Shared Key, ön paylaşımlı anahtar) kısmına yapıştırın. Bağlantı yaptıktan sonra ayarlarınızı silmediğiniz sürece bilgisayarınız bu şifreyi bir daha sormaz.

3. Kablosuz ağ yayın kanalını kafanıza göre değiştirebilirsiniz. Bu değer genelde 11'dir ve saldırgan genelde bu kanalı dinlemekle işe başlar, o yüzden değiştirmek fena olmaz.

NOT: Yukarda anlattığım önlemler gerçekten saldırganın işini çok zorlaştıracaktır ama şundan emin olabilirsiniz ki kesinlikle bu tedbirlerin hepsi aşılabilmektedir. Tabi oturduğunuz civarda bu işlere meraklı birileri yaşamıyorsa çok da dert etmenize gerek yok. Eğer civarda böyle birileri varsa, Backtrack veya Operator gibi basit bir "Linux Live CD" ile yukardaki önlemlerin hepsinin aşılması biraz sabırla mümkündür. Bu durumda %100 güvenli olmak isteyen varsa kesinlikle kablosuz modem kullanmamalıdır..

Serdar Kocaoğlu
MCSE:S
03.01.2008

kablolu, kablosuz, ağ, adsl, modem, güvenlik, şifre, güvenliği, ssid, wep, wpa, brute force, IP, mac, adres, dhcp, psk, backtrack, operator, linux, live cd, nedir, nasıl

Yazının devamı..

TC Kimlik Numaralarının İnternette Yayınlanması Çok Sakıncalı!

Kamu Kurumları, TC Kimlik Numaralarının webde yayınlanması konusunda çok dikkatli olmalı!

Kamu web sitelerinde güvenlik konusunda çok hayati hataların yapıldığını üzülerek ve hayretler içinde görüyorum. Bu durumun farkında olan çok sayıda bilişimci var ama buna rağmen nedense bir türlü önlem alınmıyor.

En son yaşanan Key (Konut Edindirme Yardımı) Ödemeleri olayı ile artık resmen vatandaşların kişisel bilgi güvenliği tehlike altında çünkü Key Ödemesi yapılacak 8.5 milyon vatandaşın Adı, Soyadı, TC Kimlik ve Sosyal Güvenlik Numaralarının tamamı birileri tarafından Resmi Gazetenin web sayfasından indirilip, pdf formatına dönüştürülerek, Rapidshare dosya paylaşım sitesine upload edilmiş bile. İsteyen herkes bütün listeyi indirebiliyor. Bu bilgiler kötü niyetlilerin eline çoktan geçmiştir.

Artık olabilecekleri kestirmek çok zor değil..

Bu ülkede sadece TC Kimlik numarasıyla neler öğrenilmiyor ki, en basitinden aklıma gelenler;
örneğin, http://tckimlik.nvi.gov.tr/Web/VerifyIdentityNumber.aspx sayfasından ad, soyad, doğum yılı hemen öğrenilebilir.

ÖSYS sonuçları, ÖSYM sitesinin sınav sonuçları sayfasından öğrenilebilir,

internette mevcut bazı programlar yardımıyla adres bilgileri bile öğrenilebiliyor. Bunlar daha ilk akla gelenler..

Ama bu büyük güvenlik zaafına rağmen kurumlarımız, bu "kişiye özel" numaraları açık seçik yayınlamaktan hiç çekinmiyorlar. Geçenlerde bir kamu kurumunun sitesinde, kurumun kendi personel listesini yayınladığını bizzat gördüm, üstelik de Sicil Numaraları ve TC Kimlik Numaraları ile birlikte!

Buna artık bir dur denmesi gerekiyor!

Tüm kamuoyunu ve kamu kurumlarını bu konuda dikkatli olmaya çağırıyorum!

Bu arada aklıma takılan diğer bir konu da;
devletin açtığı resmi bir sitenin adı nasıl olur da .com uzantılı olur?

Bu işlerden biraz anlayanlar iyi bilirler ki, devlet sitelerinin uzantısı Türkiye'de gov.tr'dir ve bu alan adları ODTÜ tarafından sadece resmi kurumlara verilir.

gov.tr değil de bari com.tr, net.tr, org.tr gibi en azından .tr uzantısı olsaydı.

.com uzantısı yani .tr uzantısı olmaması gerçekten çok abes bir durum. Sıradan bir kişi veya bir firma bunu yapabilir ama resmi bir kurumun bunu yapması haklı görülemez, çünkü ülke uzantısı olmayan alan adları varsayılan olarak Amerika'ya aittir. Sanırım hatanın kaynağı bu işle uğraşan bilgi işlemci arkadaşların bilgi eksikliğidir.

Ben şahsen http://www.keyodemeleri.com/ adresini ilk gördüğümde bunun sahte bir alan adı olabileceğini, devletin böyle site açmayacağını düşündüm, haksız mıyım?


Serdar Kocaoğlu
02.08.2008

İlgili Yazılar:
TC Kimlik numaralarının yayınlanması hakkındaki anketin sonuçları
tc, tc kimlik, no, numaraları, numarası, adres, sosyal güvenlik no, sicil, key ödemeleri, adı, soyadı, doğum, tarihi, resmi gazete, web, site, uzantı, alan adı, rapidshare, adres bulma programı

Yazının devamı..

YouTube Yasağına Çözüm Bulundu

YouTube Yasağına Yeni Formül

Atatürk'e hakaret içeren yayınlar nedeniyle uzun süredir kapalı olan video paylaşım sitesi YouTube, yerelleşme sayesinde yasaktan kurtuluyor. Sorunun çözümü için YouTube ve Telekomünikasyon Kurumu yetkilileri arasında gerçekleştirilen görüşmelerde şirketin Türkiye'ye özgü bir arama motoru oluşturması kararlaştırıldı. Buna göre siteye Türkiye'den YouTube.tr ya da YouTube.com.tr adreslerinden ulaşılacak. Böylece sitede, İnternet Güvenliği Yasası'nda suç sayılan Atatürk'e hakaret, porno, müstehcenlik, kumar ve intihara özendirme gibi içerikler ayıklanmış olacak.

Telekomünikasyon Kurumu Başkanı Tayfun Acarer, YouTube yetkilileriyle devam eden görüşmelerde çözüm için belli bir aşamaya gelindiğini açıkladı. Acarer, YouTube'un Türk halkının ulusal değerlerini, duyarlıklarını ve İnternet Güvenliği Yasası'nda belirtilen 9 katalog suçu dikkate alan YouTube.tr ya da YouTube.com.tr adıyla bir site oluşturacağını söyledi.

Acarer, YouTube'un Almanya, Çin ve ABD için de benzer siteler kurduğunu ifade ederken önemli bir de uyarıda bulundu: "Türk kullanıcıları, ülke hassasiyetlerini dikkate alan 'youtube.com.tr' sitesine giriş yapsın."

Tayfun Acarer, bundan sonra YouTube ile Türkiye arasındaki hukuki ve idari işlemlerin, şirketin Türkiye'de açacağı temsilcilik vasıtasıyla yürütüleceğini de kaydetti.

Bugüne kadar YouTube'da 111 zararlı içerik tespit edildi, bunların 67'si siteden kaldırıldı. Ankara 11. Sulh Ceza Mahkemesi kararıyla Atatürk'e hakaret içeren yayınlar nedeniyle YouTube'a erişim 6 Haziran 2008 tarihinden beri yasak.
01.08.2008
youtube, yasak, çözüm, formül, telekomünikasyon, youtube.com.tr, youtube.tr, video, içerik, erişim, site, katalog suçlar

Yazının devamı..

Microsoft'un Windows Vista Fiyaskosu

Microsoft'un Büyük Hayal Kırıklığı: Windows Vista
Microsoft'un Windows XP başarısından sonra kullanıcılarda oluşan yeni, daha hızlı hatta mükemmel bir işletim sistemi beklentisi Vista ile hayal kırıklığına dönüştü.

2006 sonlarında daha henüz piyasaya çıkmadan betasını (Release Candidate) kurup denediğimde, daha kurar kurmaz 400 MB ram yemeye başlayan, durmadan soru soran, onay isteyen ve kullanmaya alıştığım özellikleri yerli yerinde bulamadığım bu aç gözlü işletim sistemini derhal kaldırma ihtiyacı hissettim ve 2010 yılından önce yeni bir işletim sistemine geçilmemesi gerektiğini de bir çok kişiye söyledim.

Elimizde Windows XP gibi tamamen oturmuş, bilgisayara yatkınlığı olmayanların bile artık kullanabildiği bir sistem olmayı başarabilmiş, büyük sıkıntıları giderilmiş, güvenliği iyileştirilmiş bir işletim sistemi varken, hiç kimse yeni çıkacak bir işletim sistemine zaten çok sıcak bakmayacaktı.

Sıradan kullanıcı ne ister? Cevap: tek kelimeyle kolaylık..
Kullanıcı, aradığı şeyi her zaman aynı yerde bulabilmek, alıştığı özellikleri sürekli kullanmak ister, alışkanlıklarını değiştirmek istemez. Sonuç olarak daha hızlı, daha kolay olmadıkça insanlar yeni bir işletim sistemine zaten geçmeyeceklerdi. Bunun üzerine bir de Vista'daki olumsuzluklar eklenince, sonuç tam bir fiyasko oldu.

Microsoft'un son duyurusuna göre 2010 yılında yeni işletim sistemi Windows 7 çıkacak. Sakın kimse Vista'ya şimdi geçmesin, çünkü Windows 7, 2010 yılında daha kararlı, oturmuş ve daha sorunsuz bir işletim sistemi olarak karşımıza çıkacaktır, üstelik XP'nin de artık değişme vakti gelmiş olacaktır. Tabi şunu da belirtmekte fayda var, Microsoft daha şimdiden "kimse tamamen yeni, sıfırdan yapılmış bir işletim sistemi beklemesin" diyor ve ekliyor "Windows 7, Vista'nın çekirdeğiyle geliştirilecektir".

Bundan benim anladığım, Vista'da beğenilmeyen özellikler törpülenecek, sorunlar giderilecek, yeni özellikler ilave edilecek ve Windows 7 olarak duyurulacaktır.

Bu arada Microsoft önce satışını durduracağını açıkladığı XP'nin, satışına ve desteğine devam edeceğini de duyurarak, Vista'nın XP karşısındaki hezimetini de itiraf etmiş oldu..

Serdar KOCAOĞLU
MCSE:S
31.07.2008

İlgili Yazılar:
Windows 7 yayınlandı
Windows 7'nin betası yayınlandı..
Windows Bilgisayar Nasıl Hızlandırılır?
Windows Sunucularda Güvenlik ve Performans

microsoft, windows, xp, vista, windows 7, işletim sistemi, ram, performans, hızlı, güvenlik, kolaylık, çekirdek, fiyasko, özellik

Yazının devamı..

Elektronik Haberleşme Güvenliği Yönetmeliği yayınlandı

Elektronik Haberleşme Güvenliği Yönetmeliği Resmi Gazetede Yayınlanarak Yürürlüğe Girdi - 20.07.2008

GSM operatörleri, ISS, Hosting firmaları ya da UMTH operatörleri benzeri haberleşme işletmecilerinin fiziksel alan, veri, donanım, yazılım ve personel güvenliği konularındaki tedbirlere yönelik yönetmelik Resmi Gazete'de yayınlanarak yürürlülüğe girdi.

Elektronik Haberleşme güvenliğine yönelik önemli bir yönetmelik yayınlandı. "İşletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsar." şeklinde özetlenen Yönetmelik, 20 Temmuz'da Resmi Gazete'de yayınlanarak yürürlülüğe girdi.

Yönetmelik, "Kişisel bilgilerin işlenmesi ve gizliliğinin korunması" konusundaki kanunu kapsam dışında bırakıyor.

Yönetmelikte Elektronik haberleşmeye ilişkin başlıca tehditler ve zafiyetler ayrı ayrı tanımlanıyor.

Tehditler; Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi, Yetkisiz olarak veya yetki aşımıyla silme, ekleme, değiştirme, geciktirme, başka bir ortama kaydetme veya ifşa etme yoluyla veri gizliliğinin, bütünlüğünün ve/veya devamlılığının bozulması, Donanım-yazılım bileşenlerinin ulusal düzenleme ile ulusal ve/veya uluslararası standartlar uyarınca belirlenen gereklilikleri yerine getirmesinin kısmen veya tamamen engellenmesi, Deprem, sel, su baskını, yangın gibi doğal afetler ile grev ve lokavt hali, Kullanıcıyı yanıltarak doğru tarafla elektronik haberleşmede bulunduğu izleniminin verilmesi, Elektronik haberleşmenin yasal olmayan bir şekilde izlenmesi ve/veya dinlenmesi, Doğru olmayan bir bilgi üretilerek bu bilginin başka bir taraftan alındığının iddia edilmesi veya başka bir tarafa gönderilmesi, Elektronik haberleşme altyapısının kısmen veya tamamen hizmet veremez hale getirilmesi veya altyapıya ait kaynakların, hizmet sunumunu aksatacak şekilde tüketilmesidir şeklinde tanımlanırken, Zafiyetler ise ; Gelecekte gerçekleşmesi muhtemel tehditlerin öngörülememesi, Bir sistem veya protokolün tasarımında yapılan yanlışlıklar, Bir sistem veya protokolün kurulumu sırasında oluşan problemler, Geliştiricilerin hataları, Uygulayıcıların hataları, Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizliklerdir şeklinde belirtiliyor.

Yönetmeliğe göre işletmeciler, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlü hale geliyor. Ayrıca işletmecilerin elektronik haberleşme güvenliği kapsamında, tehdit ve zafiyetlere karşı yılda en az bir kez risk analizi yapmaları gerekecek. Rapor Telekomünikasyon Kurumuna gönderilecek.

Yönetmeliğin ihlali durumunda; idari para ceza oranları uygulanabilecek. Bu ceza bir önceki takvim yılındaki cirosunun % 1 (yüzde bir)’ine kadar olabilecek.

Yönetmelik için tıklayın..

keywords: bilgi güvenliği, bütünlük, devamlılık, donanım, elektronik, gizlilik, güvenlik, haberleşme, iso, iec, 27001, telekomünikasyon, yazılım, yetki, yönetmelik, resmi gazete

Yazının devamı..