Bilgi çağı, hem sosyal yapı olarak hem de bir değerler bütünü olarak tüm insanlığı değişime zorlayan bir süreçtir. Aslında uygarlığın tarihi, bilgi/veri iletişiminin tarihi olarak görülebilir. Veri iletişiminin olabilmesi için verinin sembolik bir şekilde tanımlanması temel ilkedir. Başlangıçta yalnızca basit tekniklerle yapılan veri iletişimi, uygarlıkların varoluşuna ve gelişmişliğine etki etmiş ve veri iletişimini hızlandıran yöntemler geliştirilmeye başlanmıştır. Bilgisayarın gelişimiyle oluşan ağ yapıları, veri iletişimini sağlamak için tüm dünyayı çepeçevre sarmış, veri tabanları ile devasa miktarda bilgi depolanabilmiş ve bunlara erişim sağlanmıştır. Veri iletişimi, en basit biçimiyle verilerin bir kaynaktan başka bir kaynağa hatasız olarak aktarılması sürecidir. Veri iletişimi bilgisayar ile birçok elektronik cihaz arasında olabilir. Veri aktarımında bilgiler cihazların iletimini gerçekleştirebileceği şekilde kodlanarak aktarılır. Bilgi teknolojilerine dayalı bu aktarım teknikleri sağladığı pek çok yararla birlikte gerekli güvenlik önlemleri alınmadığı takdirde kişi ve kurumları zarara uğratabilmektedir. Veri güvenliği, elektronik ortamlarda verilerin saklanması, taşınması veya erişilmesi esnasında bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir veri işleme platformu oluşturma çabalarının tümüdür. Bu durumun sağlanması için, uygun güvenlik politikaları belirlenmeli ve uygulanmalıdır. Bu politikalar, işlemlerin sorgulanması, erişimlerin incelenmesi, değişiklik kayıtlarının tutulup değerlendirilmesi, silme işlemlerinin yetkiler doğrultusunda sınırlandırılması gibi düşünülebilir ve geliştirilebilir. Bilgisayar ve veri güvenliğinde karşı taraf, kötü niyetli olarak nitelendirilen (korsan ve saldırganlar) kişilerdir. Bu kişiler bilgisayar güvenliğini aşmak veya atlatmak, zafiyete uğratmak, doğrudan veya dolaylı olarak zarara uğratmak, sistemlere zarar vermek, sistemin işleyişini aksatmak, durdurmak veya çökertmek gibi amaçlarla sistemlere yaptıkları bu girişimler saldırı ya da atak olarak adlandırılır. Veri güvenliği kavramı ise; verinin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önlemek olarak tanımlanabilir. Elektronik sistemlerde karşılaşılan; dinleme, değiştirme, engelleme, yeniden oluşturma, tekrar gönderme gibi sürekli gelişen atak teknikleri vardır.
Keşif Atakları
Saldırı şekli olmaktan çok, arkasından yapılacak saldırılar için, hedef hakkında bilgi toplamak amacıyla geliştirilirler.
Aldatma Atakları (spoofing)
Uç birimlerin birbirine gönderdikleri paketlerde hedef-alıcı adresi ve port bilgisinin yanı sıra gönderen uç birimin adresi ve gönderdiği port bilgisini de taşımaktadır. En çok kullanılan saldırılardan biriside “Ip Spoofing” yani sahte adres kullanma işlemidir. Bu basitçe bir kullanıcının kendi adresini gizlemesi olarak düşünülebilir; fakat diğer taraftan hedefteki makine aldığı veri paketlerine karşılık yolladığı cevap paketlerini bu sahte adreslere göndereceği için bu durum masum bir adres gizleme olarak düşünülemez. Çünkü karşı tarafa gönderilen sahte adresli birçok paket, hedef uç birim kaynaklarını birçok yanlış veya ulaşamayacağı adrese cevap paketleri göndererek harcayacaktır.
Paket Gözleme (sniffing)
Genel anlamda gidip gelen veri paketlerinin içeriğinin gözlenmesidir. Saldırgan bu şekilde ağ üzerinde aktarılan önemli bilgilere erişim sağlayabilmektedir.
Ortadaki adam saldırısı (Man in the middle)
Temelde ARP aldatma saldırısının kullanıldığı bu yöntemde saldırgan, bulunduğu ağdaki hedef cihaz ile hedefin iletişimde bulunduğu bir başka cihaz arasındaki trafiği kendi üzerinden geçirir. Bunu gerçekleştirebilmek için iki tarafa da gönderici ip adresi olarak birbirlerinin adreslerini fakat MAC adresi olarak kendi adresini içeren sahte ARP mesajları yollar. Uç birimler gelen bu ARP paketi sonucunda ARP geçici belleklerini güncellerler. Böylece bir uç birim diğerine bir paket gönderdiğinde bu paket aradaki saldırgana, oradan da hedef uç birime iletilir.
Veri Güvenliği Kavramları
Kriptoloji gizlilik, bütünlük, kimlik denetimi ve inkâr edememe gibi bilgi güvenliği kavramlarının matematiksel algoritmalar yardımıyla sağlandığı yapıdır. Veri güvenliği kavramları birbirinden bağımsız olarak düşünülemez. İletim esnasında bütünlüğü sağlanamamış ama gizli verinin bir anlamı olmadığı gibi bütünlüğü sağlanmış ama iletişimin olmadığı verinin de karşı taraf için bir anlamı olmayacaktır. Bu yüzden veri güvenliği kavramları birbiriyle ilişkili olarak düşünülmeli ve ona göre çalışmalar geliştirilmelidir. Güvenli veri iletiminde dört temel amaç vardır ve bunların yanına eklenebilen amaçlarda vardır. Temel amaçlar; veri bütünlüğü, veri gizliliği, kimlik denetimi ve inkâr edememe olarak sıralanabilir. Günümüz çağı teknoloji ve bilim çağı olduğundan dolayı, bunlara ek amaçlar da geliştirilebilir ve eklenebilir. Bilgi sürekli gelişmekte ve değişmektedir.
Veri bütünlüğü
Veri bütünlüğü kavramı, bilginin içeriğinin değiştirilmemiş olmasıdır. Bilginin eksiksiz olarak iletilmesinin, tamlığının ve doğruluğunun sağlanmasıdır. Bu durumda veri, haberleşme sırasında izlediği yollarda değiştirilmemiş, araya yeni veriler eklenmemiş, belli bir kısmı ya da tamamı tekrar edilmemiş ve sırası değişmemiş şekilde alıcıya ulaşmalıdır. Alıcı iki tür bütünlük sınaması yapabilir. Bozulma sınaması ile verinin göndericiden alıcıya ulaştırılması sırasında değiştirilip değiştirilmediğinin kontrolü sağlanabilir. Düzeltme sınamasında ise, bozulma sınamasına ek olarak eğer veride değişiklik sezildiyse, bunu orijinal haline dönüştürmek hedeflenmiştir. Özet oluşturma algoritmaları yardımıyla bilgi üzerinde değişiklik olup olmadığı kontrol edilebilir.
Veri Gizliliği
Bilginin başkaları tarafından anlaşılmaması gerekmektedir. Ağı dinleyebilen birisi bilgiyi alsa bile bilginin içeriğini anlayamamalıdır. Bir başka deyişle gerçek bilginin istenmeyen kişilerin eline geçmesinin engellenmesidir. Bu aşamada kriptografi ve kriptoanaliz kavramları devreye girmektedir. Önceleri yer değiştirme veya kaydırma gibi basit şifreleme teknikleri kullanılıyordu, fakat günümüzde gelişmiş matematiksel algoritmalar kullanılarak çözümü zorlaştırılan şifreleme teknikleri oluşturulmaktadır. Gizlilik hem kalıcı ortamlarda saklı bulunan, hem de ağ üzerinde bir göndericiden bir alıcıya iletilen veriler için söz konusudur. Saldırganlar, yetkileri olmayan verilere birçok yolla erişebilirler: Parola dosyasının çalınması, sosyal mühendislik, bilgisayar başında çalışan bir kullanıcının fark ettirilmeden özel bir bilgisinin ele geçirilmesi gibi yöntemler kullanabilirler. Bunun yanında trafik analizinin, yani ağ üzerinde hangi gönderici ile alıcı arası haberleşme olduğunun belirlenmesine karşı alınan önlemler de gizlilik hizmeti çerçevesinde değerlendirilir.
Kimlik Denetimi
İletimi gerçekleştirilen mesajın gerçekten karşıdaki kişi tarafından gönderildiğinden emin olunmasıdır. Bu durumda araya giren kişi mesajın içeriğini değiştirebilir ve yapılması istenilen işlemi engelleyebilir ya da kendi isteğinin yapılmasını sağlayabilir. Günümüzde kimlik denetimi birçok şekilde gerçekleştirilebiliyor ve giderek kimlik denetiminde güvenlik arttırılıyor. Bilgisayar ortamında geliştirilen matematiksel algoritmalar ya da günlük hayatta kullanılan iris, avuç içi tarama gibi güvenlik önlemleriyle kimlik denetimi güçlendirilmeye çalışılmaktadır. Bir başka deyişle kimlik denetiminde amaç verinin gerçekten karşı taraftan geldiğinin bilinmesidir. Gönderici ve alıcı birbirlerinin kimliklerini doğrulamalıdır.
İnkâr Edememe
Ağ üzerindeki veri iletişimini sağlayan her iki taraf içinde gönderilen ve alınan verinin inkâr edilememesidir. Yani gönderen gönderdiğini, veriyi alan da aldığını kabul etmelidir. Bu hizmet özellikle gerçek zamanlı işlem gerektiren finansal sistemlerde kullanım alanı bulmaktadır. Bu sistemde amaç gönderici ve alıcı arasında ortaya çıkabilecek anlaşmazlıkların en aza indirilmesini sağlamaya yardımcı olmaktadır.
Veri İletiminde Süreklilik
Veri iletimi esnasında kullanıcı işlemlerindeki program, personel, donanım ya da kötü niyetli kişiler tarafından aksaklıklar yaşanabilir. Güvenilir bir ortamda böyle aksaklıkların hiç olmaması gerekmektedir. Veri iletiminin engellenmesi durumu online alış-veriş hizmeti sunan firmalar için düşünülebilir. Sistemlerin bir iki saat çalışmaması bile büyük zararlar oluşabilir. Bu yüzden sistem üzerindeki açıklar sürekli test edilmeli, gerekli güvenlik çalışmaları yapılmalı, personele sistem kullanımı hakkında eğitimler verilmeli, donanım ve donanımların bulunduğu ortamların bakım ve iyileştirilmesi sağlanmalıdır.
Veri İletiminde Güvenilirlik
Sisteme verilen girdiler doğrultusunda uygun çıktıların üretilmesi ve bu durumun sürekliliğinin sağlanması veri iletiminde güvenilirliği arttırır. Amaç sistem içerisindeki tutarlılığı ve beklenen sonuçların üretilmesinin sağlanmasıdır.
Veri İletiminin İzlenebilirliği
Ağ içerisinde işlem yapan kullanıcıların işlemlerinin kayıtlarının tutulması, incelenmesi ve sistem üzerindeki açıkların kapatılmasına ilişkin çalışmaların yapılmasıdır. Amaç yönetimin sağlanması ve gerçekleşen işlemlerin sonradan analiz edilebilmesini sağlamaktır. Uygun olamayan durumlarda oluşabilecek saldırıların önceden tespiti ve giderilmesi amaçlanmaktadır. Aynı zamanda bu yapı veri iletimindeki kavramlara destek olarak düşünülebilir.
İnternet ve Haberleşme Güvenlik Uygulamaları
İnternet Vekil Sunucusu (Proxy Server)
Vekil sunucu internete erişim sırasında kullanılan bir ara sunucudur. Bu durumda, örneğin bir ağ sayfasına erişim sırasında doğrudan bağlantı yerine, Tarayıcı vekil sunucuya bağlanır ve hangi sayfayı istediğini söyler. Vekil sunucu gerekiyorsa o sayfaya bağlanır ve içeriği alır. Vekil sunucu tarayıcıya içeriği gönderir. Bilgisayar ağlarında,bir vekil sunucu diğer sunuculardan kaynakları isteyen istemcilerin talepleri için bir aracı olarak davranan sunucudur. Bir istemci vekil sunucuya bağlanır, bazı servisler ister, örneğin bir dosya, bağlantı, ağ sayfası veya farklı bir sunucudan uygun diğer kaynaklar gibi ve vekil sunucusu, kolaylaştırmak ve karmaşıklığını kontrol etmek için bir yol olarak talebi değerlendirir. Vekil sunucu, internete erişim sırasında ara makine olarak kullanılan cihazdır internete erişim sırasında vekil görevi görürler. İnternete erişim sırasında direkt bağlantı yerine bu tür bağlantılar üzerinden bağlanılır ve ana bağlantıyı isteyen makine geçici olarak kimliğini gizleyebilir. Çünkü internete bu cihazlar üzerinden bağlanıldığında karşı taraf bağlanan makineyi değil üzerindeki vekil sunucuyu görecektir.
Bu teknoloji, birçok avantaj sağlar:
Güvenlik Duvarı Sistemleri (Firewall)
Güvenlik Duvarı veya Ateş Duvarı, bir kural kümesi temelinde ağa gelen giden paket trafiğini kontrol eden donanım tabanlı ağ güvenliği sistemidir. Birçok farklı filtreleme özelliği ile ağın gelen ve giden paketler olmak üzere İnternet trafiğini kontrol altında tutar. IP filtreleme, Port filtreleme, Web filtreleme, İçerik filtreleme bunlardan birkaçıdır. Ateş duvarı deyince sadece bizi dışarıdan gelen saldırılara karşı koruyan gelişmiş bir sistem olarak düşünmemek gerekir. Gelişmiş ateş duvarları bunların dışında NAT (Ağ Adres Çevrimi), PAT (Port Adres Çevrimi) VPN (Virtual Private Networking / Sanal Özel Ağ) gibi teknolojileri de bize sunarlar. İnternet küresel kullanım ve bağlantı açısından oldukça yeni bir teknoloji iken Firewall teknolojisi 1980'lerin sonunda ortaya çıkmıştır.
Güvenlik Duvar Tipleri
Paket Filtrelemeli Güvenlik Duvarı
Paket filtreleri, Internet üzerindeki bilgisayarlar arasında transfer edilen paket başlıklarını inceleyerek hareket eder. Bir paket güvenlik duvarından geçtiği sırada eğer başlık bilgisi, güvenlik duvarı üzerinde daha önceden tanımlanmış olan ,"güvenlik duvarı paket filtresi" ile eşleşirse, ya paket atılır ya da reddedilerek kaynağa hata mesajları gönderilir. Bu tür paket filtreleme, paketin mevcut ağ akışının bir parçası olup olmadığına bakmaz. Paket filtrelemeli güvenlik duvarı OSI Modeli'nin ilk 3 katmanında çalışır. Paket başlığındaki bilgilerin hepsini baz alarak filtreleme işlemi gerçekleştirilebilir.
Durumlu Denetim Güvenlik Duvarı
Veriyi kaynağından hedefine kadar takip eder. Uygulama Tabakası Güvenlik Duvarı ise yalnızca gelen ve giden verinin başlık kısımlarını kontrol eder ve uygulama katmanındaki protokolleri kısıtlayarak güvenliği sağlar. Örneğin HTTP protokolü üzerinden bir Web sitesinin erişiminin engellenmesi buna örnek olarak verilebilir. Daha gelişmiş olanı durumlu denetim özellikte olanlar olup daha çok büyük ağların internet ve iç ağdaki trafiklerini kontrol eder. Veri güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır ve "gizlilik", "bütünlük" ve "erişilebilirlik" olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zaafiyeti oluşur.
Gizlilik
Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.
Bütünlük
Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
Erişilebilirlik
Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.
Bilgi güvenliği konusu aşağıdaki gibi sınıflandırılabilir.
Ağ Güvenliği (Network Security)
Uç/Son Nokta/Kullanıcı Güvenliği (Endpoint Security)
Veri Güvenliği (Data Security)
Uygulama Güvenliği (Application Security)
Kimlik ve Erişim Yönetimi (Identity and Access Management
Güvenlik Yönetimi (Security Management)
Sanallaştırma ve Bulut (Virtualization and Cloud)