HAVA H ARP OKULU HAVACILIK VE UZAY TEKNOLOJİLERİ ENSTİTÜSÜ YÜKSEK LİSANS TEZİ SANALLAŞTIRMA...
101
HAVA H ARP OKULU HAVACILIK VE UZAY TEKNOLOJİLERİ ENSTİTÜSÜ YÜKSEK LİSANS TEZİ SANALLAŞTIRMA TEKNOLOJİLERİNİN SALDIRI TESPİT VE ÖNLEME SİSTEMLERİNİN PERFORMANSI ÜZERİNE ETKİSİ Murat ÇALIŞKAN Bilgisayar Mühendisliği Ana Bilim Dalı Başkanlığı Yazılım Mühendisliği Programı HAZİRAN 2014
Transcript of HAVA H ARP OKULU HAVACILIK VE UZAY TEKNOLOJİLERİ ENSTİTÜSÜ YÜKSEK LİSANS TEZİ SANALLAŞTIRMA...
HAVA H ARP OKULU
HAVACILIK VE UZAY TEKNOLOJİLERİ ENSTİTÜSÜ
YÜKSEK LİSANS TEZİ
SANALLAŞTIRMA TEKNOLOJİLERİNİN SALDIRI TESPİT VE ÖNLEME SİSTEMLERİNİN PERFORMANSI ÜZERİNE ETKİSİ
Murat ÇALIŞKAN
Bilgisayar Mühendisliği Ana Bilim Dalı Başkanlığı
Yazılım Mühendisliği Programı
HAZİRAN 2014
HAZİRAN 2014
HAVA HARP OKULU HAVACILIK VE UZAY TEKNOLOJİLERİ ENSTİTÜSÜ
SANALLAŞTIRMA TEKNOLOJİLERİNİN SALDIRI TESPİT VE ÖNLEME SİSTEMLERİNİN PERFORMANSI ÜZERİNE ETKİSİ
YÜKSEK LİSANS TEZİ
Murat ÇALIŞKAN (112101)
Bilgisayar Mühendisliği Ana Bilim Dalı Başkanlığı
Yazılım Mühendisliği Programı
Tez Danışmanı: Yrd.Doç.Dr. Emin KUĞU
iii
Tez Danışmanı : Yrd.Doç.Dr. Emin KUĞU .............................. Hava Harp Okulu
Jüri Üyeleri : Yrd.Doç.Dr. Özgür Koray ŞAHİNGÖZ .............................. Hava Harp Okulu
Yrd.Doç.Dr. Muhammed Ali AYDIN .............................. İstanbul Üniversitesi
Hava Harp Okulu Havacılık ve Uzay Teknolojileri Enstitüsünün 112101 numaralı Yüksek Lisans Öğrencisi Murat ÇALIŞKAN, ilgili yönetmeliklerin belirlediği gerekli tüm şartları yerine getirdikten sonra hazırladığı “SANALLAŞTIRMA TEKNOLOJİLERİNİN SALDIRI TESPİT VE ÖNLEME SİSTEMLERİNİN PERFORMANSI ÜZERİNE ETKİSİ” başlıklı tezini aşağıda imzaları olan jüri önünde başarı ile sunmuştur.
Teslim Tarihi: 30 Mayıs 2014 Savunma Tarihi: 27 Haziran 2014
iv
v
Bu tez çalışmasında belirtilen görüş ve yorumlar yazara aittir. Türk Silahlı Kuvvetleri’nin ya da diğer kamu kuruluşlarının görüşlerini yansıtmaz. Ayrıca bu tez çalışması bilimsel ahlak ve etik değerlere uygun olarak yazılmış olup, yararlanılan tüm eserler kaynaklarda gösterilmiştir.
Haziran 2014
Murat ÇALIŞKAN
vi
vii
Sevgili Eşime,
Burhan’a ve Esat’a,
viii
ix
ÖNSÖZ
Tez çalışmamı hazırladığım zorlu sürecin her aşamasında öncelikle, bana yol gösteren, her konuda yardımcı ve destek olan, her soruma sabırla yanıt veren ve tez çalışmasının son halini almasında eksik yönlerinin ortaya çıkarılması ve giderilmesi kapsamında gayretlerini eksik etmeyen ve değerli zamanını harcayan tez danışmanım Yrd.Doç.Dr. Emin KUĞU’ya, başta Bilgisayar Mühendisliği Ana Bilim Dalı Başkanı Doç.Dr. Güray YILMAZ olmak üzere, Bilgisayar Mühendisliği Ana Bilim Dalı Başkanlığı öğretim üyelerine, tez çalışmamı yaparken maddi ve manevi desteğini eksik etmeyerek zamanını ayıran değerli arkadaşım Mustafa ÖZSIĞINAN’a, tez çalışmama her konuda desteğini ve ilgisini esirgemeyen komutanım Albay Halil KAHRAMAN’a, çalışmam süresince büyük ilgi ve fedakârlıklarıyla her zaman yanımda olan aileme, zorlu çalışma süreçlerinde sabırla destek olan ve olmasaydı başaramayacağım Sevgili Eşim'e, bana sürekli bitmek bilmeyen enerjileriyle moral veren Burhan’a ve Esat’a, bana bu imkânı sağlayan ülkem ve Türk Silahlı Kuvvetleri’ne teşekkürlerimi sunmayı bir borç bilir, sonsuz minnettarlığımı sunarım. Haziran 2014
Murat ÇALIŞKAN
x
xi
İÇİNDEKİLER
Sayfa
KISALTMALAR ................................................................................................ xiii ÇİZELGE LİSTESİ .............................................................................................. xv ŞEKİL LİSTESİ................................................................................................. xvii ÖZET....................................................................................................................xix 1. GİRİŞ ..................................................................................................................1
1.1 Tezin Amacı ................................................................................................. 1 2. LİTERATÜR ARAŞTIRMASI..........................................................................5 3. BİLGİ GÜVENLİĞİ ........................................................................................ 13
3.1 Güvenliğin Gereksinimleri...........................................................................14 3.2 Güvenliğin Bileşenleri .................................................................................14 3.3 Bilgi Güvenliği Türleri ................................................................................16
3.3.1 Ağ güvenliği ........................................................................................... 16 3.3.2 Sistem güvenliği ..................................................................................... 17 3.3.3 Veri güvenliği ......................................................................................... 17
4. BİLGİ GÜVENLİĞİNİ TEHDİT EDEN UNSURLAR .................................. 19 4.1 İçeriden Gerçekleştirilen Saldırı (Inside Attack) ..........................................19 4.2 Programlama Dillerindeki Zayıflıkları Kullanan Saldırılar ...........................19 4.3 Virüs ...........................................................................................................19 4.4 Solucan .......................................................................................................20 4.5 Truva Atları (Trojan) ...................................................................................20 4.6 Reklam Yazılımı (Adware) ..........................................................................20 4.7 Casus Yazılım (Spyware) ............................................................................20 4.8 Kök Kullanıcı Takımları (Rootkit) ...............................................................20 4.9 Hijackers .....................................................................................................20 4.10 Araç Çubukları (Toolbars) ...........................................................................21 4.11 Çeviriciler (Dialers) .....................................................................................21 4.12 Keylogger ....................................................................................................21 4.13 Arka Kapı (backdoor) ..................................................................................21 4.14 Mesaj Sağanağı (SPAM) .............................................................................21 4.15 IP Gizleme (Spoofing) .................................................................................21 4.16 Korsanlık (Sniffing).....................................................................................22 4.17 Ortadaki Adam Saldırısı (Man in the Middle Attack) ...................................22 4.18 Hizmet Reddi Saldırıları (Denial of Servise, DoS) .......................................22
5. SANALLAŞTIRMA ......................................................................................... 23 5.1 Sanal Makine ...............................................................................................24 5.2 Yalıtım ........................................................................................................25
5.2.1 Yalıtım kategorileri ................................................................................. 25 5.2.2 Yalıtım teknikleri .................................................................................... 26
5.3 Sanallaştırmanın Kullanıldığı Alanlar ..........................................................26 5.3.1 Ağ sanallaştırması ................................................................................... 26 5.3.2 Sunucu sanallaştırması ............................................................................ 27
xii
5.3.3 İşletim sistemi (Operating System - OS) sanallaştırması ......................... 28 5.3.4 Depolama alanı sanallaştırması ............................................................... 28 5.3.5 Donanım sanallaştırması ......................................................................... 29
5.4 Sanallaştırmanın Faydaları .......................................................................... 29 5.5 Sanallaştırmanın Zorlukları ......................................................................... 31 5.6 Sanallaştırmada Kullanılan Özel Yazılım .................................................... 31
5.6.1 Açık kaynak kodlu sanal makine yazılımları ........................................... 31 5.6.2 Ticari sanal makine yazılımları ............................................................... 31
5.7 Sanallaştırma Mimarisi ............................................................................... 31 5.8 Sanallaştırmanın Temel Bileşenleri ............................................................. 32 5.9 Sanallaştırma Platformları ........................................................................... 33
5.9.1 Microsoft Hyper-V ................................................................................. 33 5.9.2 VMware ................................................................................................. 33 5.9.3 Oracle Virtual Box ................................................................................. 33 5.9.4 Citrix Zen ............................................................................................... 34 5.9.5 Red Hat Enterprise Virtualization ........................................................... 34
6. SANALLAŞTIRMADA GÜVENLİK ............................................................. 35 6.1 Sanal Makine Monitörleme (Virtual Machine Monitor - VMM) .................. 35 6.2 Sanallaştırma Mimarisi Çeşitleri ................................................................. 37
6.2.1 Verimlilik esaslı ..................................................................................... 37 6.2.2 Kaynak kontrol esaslı ............................................................................. 37 6.2.3 Denklik esaslı ......................................................................................... 37
6.3 Sanallaştırmada Güvenlik Önlemleri ........................................................... 38 7. SALDIRI TESPİT SİSTEMLERİ ................................................................... 39
7.1 Analiz Edilen Verilerin Kaynağına Göre Sınıflandırma ............................... 39 7.1.1 Ağ tabanlı IDS (Network-based IDS, NIDS)........................................... 39 7.1.2 Sunucu tabanlı IDS (Host-based IDS, HIDS) .......................................... 40
7.2 Toplanan Verilerin Analiz Tekniklerine Göre Sınıflandırma ....................... 41 7.2.1 İmza tabanlı IDS ..................................................................................... 41 7.2.2 Anomali tabanlı IDS ............................................................................... 41
7.3 Bal Çanakları .............................................................................................. 42 7.4 Saldırı Tespit Sistemlerinin Gelişimi ........................................................... 42 7.5 Saldırı Tespit Sistemlerinin İş Akış Süreçleri .............................................. 42
8. TEST VE DEĞERLENDİRME ...................................................................... 45 8.1 Test Senaryoları .......................................................................................... 45 8.2 Kullanılan Bileşenler ................................................................................... 46
8.2.1 Birinci senaryoda kullanılan donanım bileşenleri .................................... 46 8.2.2 Birinci senaryoda kullanılan yazılım bileşenleri ...................................... 50 8.2.3 İkinci senaryoda kullanılan donanım bileşenleri ...................................... 51 8.2.4 İkinci senaryoda kullanılan yazılım bileşenleri ........................................ 54
8.3 Uygulama ................................................................................................... 54 8.3.1 Senaryo 1 ............................................................................................... 54 8.3.2 Senaryo 2 ............................................................................................... 58
8.4 Değerlendirme ............................................................................................ 61 8.4.1 Senaryo 1 ............................................................................................... 61 8.4.2 Senaryo 2 ............................................................................................... 64 8.4.3 Senaryo 2(b) (CheckPoint IDS) .............................................................. 67
9. SONUÇ ............................................................................................................. 69 9.1 Gelecek Çalışmalar ..................................................................................... 70
xiii
KISALTMALAR
CentOS : Community Enterprise Operating System CPU : Central Process Unit DC : Data Center DMZ : Demilitarized Zone DoS : Denial of Service EWMA : Exponentially Weighted Moving Average HIDS : Host-based IDS ICMP : Internet Control Message Protocol IDPS : Intrusion Detection and Prevention System IDS : Intrusion Detection System IIS : Internet Information Service IP : Internet Protocol IPS : Intrusion Prevention System ISP : Internet Service Provider IT : Information Technologies IVM : Introspector Virtual Machine I/O : Input-Output LAN : Local Area Network LOC : Lines Of Code LUN : Logical Unit Number M.Ö. : Milattan Önce MAC : Medium Access Control MTA : Mail Transport Agent NAC : Network Access Control NIDS : Network-based IDS OS : Operating System QoS : Quality of Service RAM : Random Access Memory SAN : Storage Area Networks TB : Terabyte UTM : Unified Threat Management VLAN : Virtual Local Area Network VM : Virtual Machine VMM : Virtual Machine Monitor VPN : Virtual Private Network VSFTPD : Very Secure FTP Daemon WAN : Wide Area Network
xiv
xv
ÇİZELGE LİSTESİ
Sayfa
Çizelge 8.1 : Birinci senaryoda kullanılan sanallaştırma uygulanmadan
yapılandırılmış ağın donanım özellikleri ..........................................................46 Çizelge 8.2 : Birinci senaryoda kullanılan sanallaştırma uygulanarak yapılandırılmış
ağın donanım özellikleri ..................................................................................47 Çizelge 8.3 : İkinci senaryoda kullanılan sanallaştırma teknolojileri uygulanmış aktif
ağın donanım özellikleri ..................................................................................51 Çizelge 8.4 : 250,000 paket olarak uygulanan saldırıda elde edilen CPU ve RAM
performans değerleri. ......................................................................................55 Çizelge 8.5 : 1,000,000 paket olarak uygulanan saldırıda elde edilen CPU ve RAM
performans değerleri. ......................................................................................56 Çizelge 8.6 : 2,500,000 paket olarak uygulanan saldırıda elde edilen CPU ve RAM
performans değerleri. ......................................................................................56 Çizelge 8.7 : Şifre kırma saldırısı sonucu elde edilen CPU ve RAM performans
değerleri. .........................................................................................................57 Çizelge 8.8 : Ağ keşif saldırısı sonucu elde edilen CPU ve RAM performans
değerleri. .........................................................................................................57 Çizelge 8.9 : ISP saldırısı sonucu elde edilen CPU ve RAM performans değerleri. .58 Çizelge 8.10 : 250,000 paket olarak uygulanan Ping saldırısı sonucunda elde edilen
CPU ve RAM performans değerleri. ................................................................59 Çizelge 8.11 : 1,000,000 paket olarak uygulanan Ping saldırısı sonucunda elde edilen
CPU ve RAM performans değerleri. ................................................................59 Çizelge 8.12 : 2,500,000 paket olarak uygulanan Ping saldırısı sonucunda elde edilen
CPU ve RAM performans değerleri. ................................................................60 Çizelge 8.13 : Şifre saldırısı sonucu elde edilen CPU ve RAM performans değerleri.
........................................................................................................................60 Çizelge 8.14 : Ağ keşif saldırısı sonucu elde edilen performans değerleri ...............61 Çizelge 8.15 : ISP saldırısı sonucu elde edilen CPU ve RAM performans değerleri.
........................................................................................................................61 Çizelge 8.16 : Saldırılar sonucunda elde edilen CPU değerleri karşılaştırılması. .....62 Çizelge 8.17 : Saldırılar sonucunda elde edilen RAM değerleri karşılaştırılması. ....62 Çizelge 8.18 : Saldırılar sonucunda elde edilen CPU değerleri karşılaştırılması. .....65 Çizelge 8.19 : Saldırılar sonucunda elde edilen RAM değerleri karşılaştırılması. ....65 Çizelge 8.20 : Saldırılar sonucunda elde edilen CPU değerleri karşılaştırılması. .....67 Çizelge 8.21 : Saldırılar sonucunda elde edilen RAM değerleri karşılaştırılması. ....67
xvi
xvii
ŞEKİL LİSTESİ
Sayfa
Şekil 2.1 : VirtualBox sanallaştırma mimarisi. ......................................................... 6 Şekil 2.2 : VMM odaklı saldırı tespiti iş akış şeması. ............................................... 8 Şekil 2.3 : Bulut bilişimdeki ağ trafiği. ...................................................................10 Şekil 2.4 : Vekil NIDS uygulama senaryoları mimarisi. (U. Oktay’ın izni ile) ........11 Şekil 2.5 : Saldırı simülasyonları esnasında gerçekleşen donanım kullanımları. ......12 Şekil 5.1 : Sanallaştırma teknolojilerinde kullanılan mimari....................................32 Şekil 6.1 : VMM mimarileri ...................................................................................36 Şekil 7.1 : Saldırı Tespit Sistemlerinin iş akış süreçleri. ..........................................43 Şekil 8.1 : Birinci senaryoda kullanılan fiziksel ağ mimarisi. ..................................48 Şekil 8.2 : Birinci ve ikinci senaryoda kullanılan sanal ağ mimarisi. .......................49 Şekil 8.3 : İkinci senaryoda kullanılan sanallaştırma teknolojileri uygulanmış ağ
mimarisi. .........................................................................................................53
xviii
xix
SANALLAŞTIRMA TEKNOLOJİLERİNİN SALDIRI TESPİT VE ÖNLEME
SİSTEMLERİ ÜZERİNE ETKİSİ
ÖZET
Sanallaştırma, her ne kadar bilişim dünyasında kullanılan eski bir kavram olsa da, değeri son yıllarda anlaşılmaya başlanmış ve hak ettiği konuma yükselmesiyle birlikte neredeyse bilgi teknolojilerinin (Information Technologies - IT) bütün alanlarında kullanılan bir teknoloji olmuştur. Sanallaştırma ile bilişim teknolojilerine sayısız avantaj sağlanmasıyla birlikte kullanımı yaygınlaşmıştır. Sanallaştırma kullanımının yaygınlaşmasıyla beraber bilişim alanındaki en önemli konulardan biri olan güvenlik konuları, sanallaştırma araştırmalarında öncelikli konulardan biri haline gelmiştir. Öncelikle mevcut durumda sanallaştırma teknolojilerinin güvenlik zafiyetleri giderilmiş, çalışmaların devamında sanallaştırmanın klasik güvenlik sorunlarının birçoğuna karşı çözüm üretecek eşsiz fırsatlar sunduğu görülmüştür. Saldırı Tespit ve Önleme Sistemleri (Intrusion Detection and Prevention System - IDPS) ağ güvenliği kapsamında kullanılan önemli güvenlik araçlarından birisidir. Genellikle ağ topolojisinde ağın giriş-çıkış işlemlerinin yapıldığı “kapı” noktasında konumlandırılır ve ağa giren çıkan her veriyi gözleyebilecek yetenektedir. Klasik anlamda ağın içinde, yani “kapı”nın arkasında olan işlemlerle ilgilenmezler. Fakat ağın içinde olan olaylar ve bunların kayıtları, IDPS’lere veri sağlayabilir ve etkili analiz yapmasına olanak sağlar. Klasik anlamdaki bir ağ yapısında, IDPS’lerin ağ içindeki mevcut her sunucu, cihaz ya da bileşenden ilgili kayıtları alması, birleştirmesi ve aralarındaki bağıntıyı tespit ederek analiz etmesi gerekmektedir. İlgili kayıtların her sunucudan eksiksiz, zamanında elde edilmesindeki zorluklardan dolayı analizin her zaman tam ve doğru sonuçlar üretmesi neredeyse imkansızdır.
Bütün ağın üzerinden geçen her bir veri bitine hakim olacak bir yapı oluşturulduğu takdirde ancak istenen IDPS doğruluk ve performansına ulaşılabilir. Bu yapıyı oluşturma yeteneğine de günümüzde sanallaştırma teknolojileri sahiptir. IDPS’ler özellikle ihtiyacı olan kayıtların tutulduğu sunucuların sanallaştırılmaları sonucu, hipervizör (hypervisor) adı verilen sanallaştırma altyapısı sayesinde bütün sunucuların içeriğine hakim olmuş ve sunucuların kendi aralarındaki her haberleşmeyi izleyecek yeteneğe sahip olmuştur. Bu yetenek, özellikle anomali tabanlı IDPS’lerin daha çok ihtiyacı olan veri iletişimlerinin hangilerinin “normal” hangilerinin “saldırı” olduğunun belirlenmesi hususunda eşsiz kolaylıklar sağlamaktadır. Bu tez çalışmasında, korumakla görevli olduğu ağın sanallaştırma teknolojileri ve sanallaştırma altyapısı kullanmasının IDPS’lerin performansı üzerine etkilerinin ne olduğu ele alınmıştır. Anomali tabanlı IDPS’ler ağ içerisindeki iletişimden haberdar
xx
olarak bütün kayıtlara ulaşabilecektir. Böylece karşılaştırmalarını daha hızlı ve daha az yanılma oranıyla yapabilecektir. Sanallaştırma teknolojilerinin tatbik edildiği ağın büyüklüğü ve üzerinden geçen veri trafiğinin yoğunluğu IDPS’in çalışma, analiz ve karşılaştırma süresini artıracaktır. IDPS’e sürekli ve yoğun bir biçimde veri akışı sağlanacaktır. IDPS’in bu veriyi analiz ve işleme safhası uzayacak ve IDPS daha fazla aktif halde kalacaktır. Diğer yandan daha fazla veriyle yapılan analizler sayesinde, analizlerin etkinliği artacaktır. Böylece yapılan “normal” ve “saldırı” karşılaştırmalarının hata oranları azalacaktır. Analiz ve karşılaştırmadaki değişikler ilk başta IDPS’in CPU (Central Process Unit - CPU) ve rastgele erişimli bellek (Random Access Memory, RAM) çalışma oranlarını artıracaktır. Sonraki aşamada yapılan analizler IDPS üzerinde imza olarak kaydedildiğinde karşılaştırma süreleri azalacak ve IDPS’in CPU ve RAM çalışma oranları düşecektir. Korumakla görevli olduğu ağın sanallaştırma teknolojilerini kullanması ya da kullanmamasının IDPS’lerin performansı üzerinde ne tür değişiklikler oluşturacağının test edilmesi nedeniyle çalışmanın ismi “Sanallaştırma Teknolojilerinin Saldırı Tespit ve Önleme Sistemlerinin Performansı Üzerine Etkisi” olarak belirlenmiştir. Sonuç olarak, sanallaştırma teknolojilerinin kullanılması birçok bilişim aygıtlarının performansına olumlu etki etmiş ve sonrasında güvenlik konularının çözümüne ciddi katkılar sunmuştur. Ağ güvenliğinin temel unsurlarından olan IDPS’lere de hem doğrudan hem de dolaylı olarak yarar sağlamış ve CPU ve RAM performans değerlerini yükseltmiştir.
xxi
EFFECTS OF THE VIRTUALIZATION TECHNOLOGIES WITH INTRUSION DETECTION AND PREVENTION SYSTEMS
SUMMARY
Virtualization, although an old concept used in the IT world, its value began to be realized in recent years and rise to the position it deserves abd has been used in all areas of information technology. With the providing numerous advantages to information technology, virtualization use has become widespread. With the spread of virtualization technologies, security issues which are one of the most important issue in IT, has become preferential topic in virtualization researches. First, in the current state of virtualization technology for the security vulnerability has been addressed, in continuation of the study, that has been shown to offer unique opportunities to solve of classic security problems. Intrusion Detection and Prevention Systems are one of the most important security tools using within the network securtiy. Generally, IDPS is positioned at the “door" point where input-output operations are performed on the network topology and is capable for monitoring all data entering the network. In the classic sense they are not interested in processes within the network, behind the “door”. However, the events within the network and their records can provide data to IDPS and they allows to IDPS for efficient analyses. In a network structure in the classical sense, IDPS must take all related data from each server, device or network component and combine them and analyze them with correlations. It is nearly impossible that obtaining precise and accurate results every time, because taking all related data completely and timely is very difficult.
IDPS accuracy and performance can be achieved if a structure that dominates all every data bit passes through the entire network can be created. Virtualization technologies have the ability to create this structure at the present time. IDPSs dominate all servers’ contents thanks to virtualization infrastructure called “hypervisor” and have the ability to follow the communication amongst servers. Hypervisors provides unique conveniences for determine communication if it is "normal" or "attack” for mostly anomaly-based IDPS. In this thesis, the effects of using virtualization technologies on network and virtualized network infrastructure on the performance of the IDPS are discussed. Anomaly-based IDPS will have access to all records and will be able to finish comparisons quickly with less error rate becoming aware communication within the network. The size of the virtualization technology is applied and the data passing through the network traffic congestion is another factor affecting the performance of IDPS. On the one hand the size of the data will increase the study, analysis and comparison time of IDPS, the other hand, the analysis and comparison time and error
xxii
rate will be reduced. Because of the testing IDPS performance changes with virtualization technologies used or not, the study is called “Effects of the Virtualization Technologies with Intrusion Detection and Prevention Systems’ Performance”. As a result, the use of virtualization technology has a positive impact on the performance of many computing devices and after present serious contribution to the solution of security issues. This usage provides both directly and also indirectly benefit and increased performance values to one of the fundamentals of network security, IDPS.
1
1. GİRİŞ
Sanallaştırma teknolojilerinin bilgi teknolojilerinde kullanılmasının her geçen gün
artması ve yaygınlaşması ile birlikte önemini artırmaktadır. Bilgi teknolojilerindeki
her konu, artık sanallaştırma sistemleri açısından da değerlendirilmektedir.
Sanallaştırma teknolojilerinin gelişmesi sonucunda güvenlik sorunlarına
sanallaştırma perspektifinden de yeni çözümler üretilebilmeye başlanmıştır.
Güvenlik açıkları sanallaştırma teknolojilerinin uygulanması sonucu “sıfır” noktasına
inememiş olsa da, ciddi anlamda azalmış, güvenlik araştırmacılarını “sıfır” noktasına
inmek adına bilgi teknolojilerinin yeni kavramlarını kullanmaları gerektiği
konusunda cesaretlendirmiştir.
Bilgi güvenliğinin önemli elemanlarından olan Saldırı Tespit ve Önleme Sistemleri,
sanallaştırma teknolojilerinin güvenlik alanında da araştırmalara konu olması ile
beraber sürekli performans artışları yaşamıştır. Gerek hata tespit oranlarında gerekse
donanımın CPU ve RAM gibi ölçülebilir parçalarında gözlenen performans artışları,
bilgi teknolojilerinde güvenlik seviyesinde artış yaşanmasını sağlamıştır. Aynı
şekilde, bilginin üretildiği, saklandığı ve iletişim halinde olduğu ağ yapıları da
sanallaştırma teknolojilerinin avantajlarından çokça faydalanmış, bu da kullanıcılara
performans, kullanım kolaylığı ve güvenlik alanında olumlu etkiler olarak
yansımıştır.
1.1 Tezin Amacı
Bilgi güvenliğini tehdit eden saldırılar günden güne büyük bir hızla artmaktadır. Bu
saldırıları önleme çabaları, saldırı sayısı ve çeşitliliği ile paralel olarak insan
gücünden ve gelişen teknolojilerden faydalanarak devam etmektedir. Bilgi güvenliği
kapsamında saldırı tespit ve önleme faaliyetlerinde farklı yaklaşım ve metotlar
bulunmaktadır. Saldırı önleme faaliyetleri, tespit edilen saldırıları durdurmakta ve
gerekli önlemleri alarak bilgi güvenliğini en etkin hale getirmekte oldukça başarılı
olsalar da, saldırı tespiti hala tam olarak kesin doğrulukla sonuç verememekte ve
saldırı tespit aşamasında IDS donanım kullanımı oldukça artarak mevcut donanım
2
yetersiz kalmaktadır. Saldırıları tespit etmek amacıyla kullanılan yöntemler, saldırı
tespit sistemlerinin konumlandırıldığı yere ve muhtemel saldırı kaynaklarının analiz
tekniklerine göre değişiklik göstermektedirler.
Sanallaştırma teknolojilerinin saldırı tespit ve önleme faaliyetlerinde kullanılması
çok eskiye dayanmasa da, her yeni teknolojiden faydalanılması fikri gibi
sanallaştırma teknolojilerinin avantajlarını kullanma düşüncesi de hayata
geçirilmiştir. Öncelikle, saldırı tespit ve önleme sistemlerinin üzerinde kurulu olduğu
donanımın sanallaştırılması fikri uygulamaya konulmuştur. IDS donanımının
sanallaştırılması sayesinde sanallaştırmaya özgü donanım-yazılım bağımlılığından
kaçınılmış ve donanımın daha etkin kullanımı sağlanmasıyla beraber performans
artışları gözlenmiştir. Aynı zamanda, donanım maliyetleri azaltılmış ve birden fazla
konumda kolaylıkla saldırı tespiti sistemi konumlandırılarak daha fazla konumda
saldırı tespiti yapılabilir hale gelmiştir.
Sanallaştırmanın doğrudan tespit ve önleme sistemlerinin üzerinde kullanılmasının
avantajlarının yanında, sanallaştırma teknolojilerinin kullanıldığı ağların da tespit ve
önleme sistemlerinin performansına olumlu etkisi olduğu değerlendirilmektedir.
Saldırı tespit ve önleme sistemlerinin güvenliğini sağladıkları ağın sanal unsurlardan
oluşması, özellikle sunucu yapılarının hipervizör katmanı oluşturularak sanal
sunucular olarak yapılandırılması anomali tabanlı tespit faaliyetlerine katkıda
bulunabilecektir.
Bu çalışmada, iki farklı yapı ikişer farklı senaryo halinde test edilerek sanallaştırma
teknolojileri kullanılmış ağlarda saldırı tespit ve önleme sistemlerinin performans
değerleri incelenip, sanallaştırma teknolojilerinin saldırı tespit ve önleme
sistemlerine etkilerinin belirlenmesi amaçlanmıştır.
İki farklı senaryonun seçiminde öncelikle sanallaştırma teknolojileri uygulanmış bir
ağ ile sanallaştırma teknolojileri uygulanmamış bir ağ değerleri karşılaştırılacaktır.
Sanallaştırılmamış fiziksel unsurlardan kurulu bir ağ üzerindeki test verileri ile
birlikte IDPS değerleri incelenip, aynı ağ yapısının sanallaştırılmış unsurlarla
oluşturulmuş şekliyle ve yine test verileri ile birlikte değerler incelenip
kıyaslanacaktır. Diğer kıyaslama ortamı için gerçek zamanlı kullanılan aktif bir alan
adı içerisinde ve üzerinde gerçek kullanıcılarla birlikte gerçek verilerin bulunduğu
bir ağ üzerinde testler yapılacaktır. Bu ağ ile başlangıçta oluşturulan sanal ağ
3
üzerinde elde edilen test değerleri karşılaştırılacak ve sanallaştırma platformlarının
veri yoğunluğu ve trafik artışı sonucu değerler analiz edilecektir.
4
5
2. LİTERATÜR ARAŞTIRMASI
Saldırı tespit ve önleme sistemlerinin etkin kullanılma yöntemlerinin tespiti ve
performansının artırılması konusunda birçok çalışma yapılmıştır. IDPS doğruluk ve
donanım (CPU, RAM) kullanma performans değerleri istenen seviyeye gelmese de
ciddi ilerlemeler kaydedilmiştir. Sanallaştırma teknolojilerinin IDPS’lerde kullanımı
devam etmekte olup, sanallaştırma teknolojileri ile IDPS’in beraber kullanımı sonucu
oluşacak performans artışları takip edilmektedir.
Saldırı tespit sistemlerinin saldırı tespit oranının düşüklüğünü en önemli sorun olarak
gören M. Alshawabkeh ve ark. (2011) sanal sunucu çevrelerini kullanan yeni bir
özellik seçme algoritması önermişlerdir [1]. Önerilen algoritma, sistemin
altkümelerinin özelliklerine göre ağırlıklandıran sayılardan ve bu özellikleri
öğrenilmiş en iyi hipoteze göre oluşturulan bir “tolerans sayısı”ndan meydana
gelmektedir. “Tolerans sayısı” üzerinden bir değerlendirme fonksiyonu çalışmakta ve
saldırı tespit kararı verilmektedir. Bu algoritma sonucu VMM üzerinde çalışan
IDS’lerin tespit oranlarının başarılı bir şekilde arttığı gözlenmiştir. Altküme
özellikleri seçilirken yapay zeka uygulamalarından “açgözlü arama stratejisi”
kullanılmıştır [2].
K. Asrigo ve ark. (2006), IDS’ler için sanallaştırma kullanımını araştırmış, bal
çanaklarının görüntülenmesi ve izlenmesinde VMM odaklı sensörlerin kullanımını
incelemiştir [3]. T.K. Lengyel ve ark. (2012) ise, sanallaştırma teknolojilerini hibrit
bir bal tuzağı mimarisinde kullanmışlardır [4]. K. Asrigo ve ark. tarafından kullanıcı-
modlu Linux (UML) ve Xen VMM sanallaştırma platformları kullanılan incelemede,
daha az sayıda VMM odaklı sensörler kullanılmasına rağmen daha fazla sayıda
saldırı tespiti sağlanmıştır. Bal çanakları saldırıları ağ katmanını izleyerek tespit
etmesine rağmen, K. Asrigo ve ark. bir sensör mekanizması uygulamış, VMM
sayesinde özel belirlenmiş durumlar sonucunda kernel harekete geçirilmiştir.
Saldırılara karşı bal çanaklarını görüntüleyen dinamik çalışan bir kernel
oluşturulmuştur. Dinamik yapıdaki sensörlerin, kendilerini açıp kapatma
özelliklerinden dolayı sadece veri alınması durumunda aktif hale gelmesi
6
sağlanmıştır. Bazı sensörler ise bu dinamik yapı sayesinde kendilerini tamamen pasif
durumda tutabilmektedir. Sonuç olarak, çok daha az çabayla çok daha fazla saldırı
izlenmiş ve tespit edilebilmiştir.
F. Azmandian ve ark. (2012), bulut üzerindeki depolama sistemlerinin VMM
üzerinden güvenliğinin sağlanması konusunda çalışmalar yapmıştır [5]. Kişilerin
verilerini toplu olarak tek bir yerde tutma kolaylığı sağlaması ve herhangi bir yerden
ve herhangi bir zamanda ulaşılabilir olmasıyla gün geçtikçe kullanılırlığı ve ünü
artan bulut depolama sistemleri, sanallaştırma tabanlı saldırı tespit altyapısıyla daha
güvenli bir ortama dönüşmüştür. Saldırı tespit sistemi, zararlı aktiviteleri çalışma
esnasında VMM katmanında analiz ederken makine öğrenme tekniklerini
kullanmıştır. Bu sistem sayesinde zararlı yazılımlar %98 oranında tespit edilmiş ve
sadece %3 oranında hatalı alarm üretilmiştir.
Şekil 2.1 : VirtualBox sanallaştırma mimarisi.
7
Bulut depolama sistemleri, yeni bir depolama alanı ya da düğüm eklenmesindeki
esnekliği ile vazgeçilmez avantajlar sunmaktadır. Sanallaştırma teknolojileri ise bu
esnek ve ölçeklendirilebilir sisteme sanal makineler içinde yalıtım ve güvenli iş yükü
dağılımı sağlamaktadır. Çalışma esnasında VirtualBox sanallaştırma yazılımı ile
beraber tam sanallaştırma sağlayabilen açık kaynak kodlu Oracle VMM
kullanılmıştır. Çalışmada, bu tez çalışması esnasında da kullandığım Şekil 2.1’de
gösterilen sanallaştırma mimarisi kullanılmıştır [5].
VMM tabanlı saldırı tespiti, aşağıdaki elemanlara sahiptir:
1. VMM Seviyesinde Olay Çıkarımı: VMM seviyesinde disk ve ağ girdi-çıktıları ile
sayfa hatalarının kontrolü yapılmaktadır.
2. Özellik Yapıları: İstatistiksel teknikler kullanarak ham veriler makine öğrenme
uygulamalarında kullanılmak üzere özelliklere çevrilmektedir.
3. Özellik Seçimi: Olası bütün özellikler arasında, kullanılabilir alt kümeler
oluşturulmaktadır.
4. Normal Model Yaratımı: Çalışma düzenindeki doğal davranışlar
tanımlanmaktadır.
5. Anomali Tespiti: Normal davranışlar baz alınarak, anormal ve zararlı davranışlar
tespit edilmektedir.
6. Üssel Ağırlıklı Hareketli Ortalama (Exponentially Weighted Moving Average,
EWMA) Filtresi: Yanlış alarmları azaltmak için EWMA teknikleri kullanılarak
anomali istatistikleri işlenir.
7. Alarmları artırma: Potansiyel tehlikelere karşı alarmlar üretilir.
F. Azmandian ve ark. çalışmasında kullandığı VMM odaklı saldırı tespitinin iş akış
şeması Şekil 2.2’de gösterilmiştir.
8
Şekil 2.2 : VMM odaklı saldırı tespiti iş akış şeması.
İş akış şemasında değerlendirilen davranış değerleri sadece filtrede belirlenen eşik
değerini aştığı durumlarda potansiyel saldırı olarak belirlenmiş ve alarm üretmiştir.
VMM tabanlı saldırı tespitinin iki çalışma modu olan kalibrasyon ve test aşamaları
sırasıyla kullanılmıştır.
F. Baiardi ve D. Sgandurra (2007), sanal makinelerin gözlemleme özelliğini
kullanarak saldırı tespit işlemlerinin güvenilirliği artıran çalışmalarda bulunmuştur
[6]. “Psyco-Virt” diye isimlendirdikleri yüksek güvenilirlik derecesine sahip saldırı
tespit aracı, sanal makine gözlemlerine dayanmaktadır. Psyco-Virt altyapısı, bir dizi
sanal makine (Virtual Machine - VM), sanal makinelerin gözlemlenmesi işlemi ve bu
gözlemlerin değerlendirildiği bir sanal makineden oluşmaktadır. Sistem içindeki
VM’lere yerleştirilen yazılım ajanları vasıtasıyla VM’ler ve IDS’ler üzerindeki trafik
izlenmiş ve faydalı trafik tek bir VM üzerinde toplanmıştır. Bu trafik sonucu zararlı
kodlar tespit edilmiş ve gerekli alarmlar üretilmiştir.
Psyco-Virt mimarisinde, sanal makine monitörleme (Virtual Machine Monitor –
VMM), gözlemleyici VM (introspector VM, IVM), VMM ara yüzü ve VMM’e
9
ulaşmada tam kontrole sahip bir VM bulunmaktadır. Mimari yapıda bir de IVM
üzerinde çalışan ve bütün ana elemanları koordine eden motor vardır.
M. Bourguiba ve I. El Korbi (2014), bulut bilişimde ağ sanallaştırmasının girdi-çıktı
performansını artırdığını tespit etmiştir [7]. Xen sanallaştırma platformu üzerinde
yapılan çalışma ve uygulamalarda, paket birleştirme tabanlı bir mekanizma ile
VM’ler arasındaki darboğazlar önlenmiştir. Buna ilave olarak test sonuçları bant
genişliğinin ölçeklenebilirliğini ve bant genişliği kapasitesinin arttığını göstermiştir.
M. Laureano ve ark. (2004), sanal makine ortamında saldırı tespit tekniklerini ve
sanallaştırmanın saldırı tespitinde doğruluğunu artırmasını ortaya koymuşlardır [8].
Sunulan önerinin ana fikri, sistemin sarmallanması (encapsulation) ve sistem içindeki
VM’lerin sistem dışından gözlemlenmesidir.
S. Sancak (2008) yüksek lisans tezinde saldırı tespit sistemleri tekniklerinin
karşılaştırmasını yapmıştır [9]. Bu çalışmada yaklaşım olarak kötüye kullanım (imza
tabanlı) ve anormallik tespiti, korunan sistemlere göre ağ temelli ve sunucu temelli
sistemler incelenmiştir.
U. Oktay (2013) yüksek lisans tezinde bulut bilişimde vekil ağ saldırı tespit
sistemlerini incelemiştir [10]. Bulut bilişimde vazgeçilmez bir öneme sahip olan
IDS’lerin performanslarını artırmaya yönelik kapsamlı bir çalışma ve uygulama
testleri yapılmıştır.
İstenildiği her an hizmet verebilen, geniş ağ erişimine sahip, kaynaklarını geniş bir
havuz halinde sunabilen, elastikiyete sahip ve hızlı çözümler üretebilen, servis
kalitesi yüksek, düzenli hizmet veren bulut bilişimde güvenlik ihtiyaçları tatmin edici
seviyede giderilmek durumundadır.
Şekil 2.3’te sunulan bulut bilişimdeki ağ trafiği önlem alınması gereken noktaları da
göstermesi bakımından önem arz etmektedir.
10
Şekil 2.3 : Bulut bilişimdeki ağ trafiği.
Bulut bilişimde en çok karşılaşılan saldırılar şunlardır: Bulutun içinden gelen
saldırılar, çok fazla miktarda paket gönderilerek sistem kaynaklarını etkisiz hale
getiren taşma saldırıları, yetkili bir kullanıcı hesap bilgilerini elde etmek suretiyle
yapılan saldırılar, sistem üzerindeki açık ve kapalı portların tespiti sonucu açık
portları istismar eden saldırılar, sanal makinelere ve “hipervizör” olarak bilinen
sanallaştırma katmanına yönelik gerçekleştirilen saldırılar, bulut içerisindeki bir
düğümü ele geçirmek suretiyle bu düğümü istismar ederek DDoS saldırılarına açık
hale getirmek suretiyle yapılan arka kapı saldırıları.
Yapılan testler üç farklı senaryo üzerinden değerlendirilmektedir:
1. Ağ üzerinden gelecek saldırılara karşı her bir VM üzerinde NIDS kullanmak,
2. Ayrı bir VM üzerinde NIDS kullanmak,
3. Ağ geçidi görevindeki ayrı bir VM üzerinde NIDS kullanmak.
Senaryolarda kullanılan sanallaştırma platformu Citrix XenServer 6.1.0’dır. Hyper-
threading özelliğine sahip bir adet Intel Xeon X3440 sunucu kullanılmıştır. Sunucu
üzerinde 2,53 Ghz CPU ve 8 GB DDR3 RAM bulunmaktadır.
11
Sanal platformda birbirinden farklı sanal yerel alan ağları (Virtual Local Area
Network – VLAN) üzerinde sekiz adet VM bulunmaktadır. VM’lere web sunucusu,
dosya sunucusu ve e-posta sunucusu görevleri yüklenmiş olup bir adet VM IDS
sunucusu olarak görevlendirilmiştir. Şekil 4’te test senaryolarında kullanılan mimari
görülmektedir [10].
Şekil 2.4 : Vekil NIDS uygulama senaryoları mimarisi. (U. Oktay’ın izni ile)
Test esnasında web sunucusu, dosya sunucusu, e-posta sunucusu, IDS sunucusu ve
varsayılan ağ geçidi görevindeki sunucu üzerinde 64 bit mimariye sahip açık kaynak
kod ve Linux tabanlı işletim sistemi CentOS 6.4 (Community Enterprise Operating
System - CentOS) kullanılmıştır. Saldırı simülasyonlarının gerçekleştirildiği
sunucularının üzerinde ise 64 bit mimariye sahip BackTrack 5R3 işletim sistemi
bulunmaktadır.
Test ortamında kullanılan diğer bileşenler, Citrix Xen Server, CentOS 6.4, IP
Tabloları, Apache web sunucusu, Çok güvenli FTP arka plan programı (Very Secure
FTP Daemon, VSFTPD) olarak adlandırılan VSFTPD, Posta Aktarım Ajanı (Mail
Transport Agent – MTA) olarak Postfix, MySQL veritabanı uygulamaları,
BackTrack 5R3 ve Snort IDPS’dir.
Simülasyonlar esnasında gözlemlenen performans değerlerinin karşılaştırması Şekil
2.5’te gösterilmiştir. Senaryo 2’de uygulanan konumlandırma şekli IDS’in CPU ve
RAM performansını Senaryo 1 ve Senaryo 3’e göre daha çok artırmıştır.
12
Senaryo Donanım Kullanımı CPU RAM
Senaryo 01 > Senaryo 2 > Senaryo 2
> Senaryo 3 > Senaryo 3
Senaryo 02 < Senaryo 1 < Senaryo 1
< Senaryo 3 < Senaryo 3
Senaryo 03 < Senaryo 1 < Senaryo 1
> Senaryo 2 > Senaryo 2
Şekil 2.5 : Saldırı simülasyonları esnasında gerçekleşen donanım kullanımları.
Özellikle ICPM Flooding yönteminde Senaryo 2, Senaryo 1’e göre CPU
kullanımında yaklaşık %50, Senaryo 3’e göre yaklaşık %100 performans artışı
sağlamıştır. Diğer yöntemlerde de Senaryo 1’de uygulanan yöntemin gözle görünür
şekilde performans artışları sağladığı kaydedilmektedir. Senaryo 01 donanım
performanslarının düşük olması, Snort IDS’in her bir VM üzerinde ayrı bir servis
olarak çalıştırılmasından ve Snort’un en alt seviyedeki temel bileşenlerinin her Snort
servisi için ayrı ayrı çalıştırılıyor olmasından kaynaklanmaktadır.
13
3. BİLGİ GÜVENLİĞİ
Güvenlik, insanoğlunun tarihten beri ilgisini çeken bir kavramdır. Günümüze kadar
da bu ilgi hiç yitirilmemiş ve artarak devam etmiştir. Güvenlik kelimesinin kelime
anlamı, Türk Dil Kurumu sözlüğünde “Toplum yaşamında yasal düzenin aksamadan
yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumu, emniyet” olarak ifade
edilmiştir [11]. Güvenlik ihtiyacı Maslow’un ihtiyaçlar hiyerarşisinde en alt tabaka
olan fiziksel ihtiyaçların bir basamak üzerinde yer almaktadır.
İnsanoğlunun sahip olduğu en önemli varlık bilgidir. Bilgi kavramı, günümüzde veri,
bilgi, üst bilgi, bilgelik gibi çok farklı ve geniş anlamlarda kullanılabilse de, veri
işleme teknikleri sayesinde bazen küçük bir veri bile çok önemli hale
gelebilmektedir.
Bilgi, tarih boyunca korunması gereken bir değer olarak kalmıştır. İnsanlar sahip
olduğu bilgiyi korumak için çeşitli yöntemler geliştirmişlerdir. Bu yöntemler bilginin
içeriği, saklama koşulları ve iletim ortamlarına göre değişiklik göstermiştir. İlk
örneklerine milattan önce (M.Ö.) 2000 yıllarında rastlanan şifreli metinler bilginin
korunma çabalarının geçmişinin eski çağlara dayandığını göstermektedir. M.Ö 2000
yıllarında Mısır’da standart olmayan hiyeroglif işaretler kullanılması ile ilk
örneklerine rastlanan süreç, M.Ö. 100 yıllarında Roma devlet haberleşmesinde
alfabedeki harflerin kaydırılması suretiyle şifreleme, M.S. 1000 yıllarında Gazne
Devleti’nde yine devlet haberleşmesinde şahsa özel şifrelemeler, 1600 yıllarında
otomatik anahtarlama yöntemi ve 5-bit ikili kodlamanın bulunduğu stenograf’ın
kullanılması, 1800 yıllarında “strip cipher” makinesinin geliştirilmesi, 2. Dünya
Savaşı esnasında “enigma” makinesinin kullanılması, 1970’lerde Lucifer, DES,
Diffie-Hellman açık anahtar sistemi ve RSA, 1985’te eliptik eğri kriptografik
sistemleri, 1990’da IDEA algoritması, 1991’de PGP, 1995’te SHA-1, 2000 yıllarının
başlarında AES algoritmasının kullanılmasıyla devam etmiştir.
Günümüzde bilgiye erişim daha önce hiç olmadığı kadar kolaylaştığı için bilginin
güvenliği büyük bir önem kazanmıştır. Bilgiyi koruma ve saklama alanında özellikle
şifreleme algoritmalarından daha çok faydalanılmakta, aynı zamanda gelişen
14
teknolojilerle “kırılamaz” denilen algoritmaların kısa sayılabilecek sürelerde
“kırılarak” güvensiz hale gelmekte ve yeni algoritmalar üzerinde çalışılmaktadır.
Bilginin saklanması, depolanması, iletimi genelde bilgisayar teknolojileri üzerinde
olduğu için Bilgi Teknolojileri (Information Technologies - IT) güvenliği kişi ve
kurumlar için ön plana çıkmıştır. IT güvenliği, var olan bilgiyi korumak, bilgi
sistemlerinin sürekliliğini, fiziksel emniyetini, gizliliğini ve iletişim ortamının
emniyetini sağlamak için tehlikelere karşı önlem almaktır [12].
3.1 Güvenliğin Gereksinimleri
Bilgi güvenliğinin varlığından söz edebilmek için güvenilirlik, bütünlük,
kullanılabilirlik, gizlilik ve kimlik doğrulama unsurlarının tam olarak mevcut olması
gerekmektedir. Bu unsurlar ise kısaca aşağıdaki şekilde listelenmektedir.
Güvenilirlik: Verinin yetkili kişilerce kullanılmasıdır. İletim esnasında iletişimin
sadece yetkili kişiler vasıtasıyla gerçekleştirilmesidir.
Bütünlük: Bilginin herhangi bir şekilde değiştirilmeden, silinmeden, tahrifata
uğramadan ve orijinal yapısı bozulmadan korunmasıdır. Bilginin bilinçli ya da
bilinçsiz şekilde bozulmasının engellenmesidir.
Kullanılabilirlik: Bilgiye her istenilen zamanda erişiminin sağlanması ve kullanıma
hazır olmasıdır [13].
Gizlilik: Bilgiye, erişmeye yetkili kişilerin dışında erişimine ve kullanılmasına izin
verilmemesi ve yetkisiz kişiler tarafından bilginin açığa çıkarılmasının önlenmesidir.
Ayrıca, iletim esnasında verinin sadece hedefe gitmesi, hedefinden başka bir yere
iletilmemesidir.
Kimlik Doğrulama: Veriye erişen yetkili kullanıcının kimliğinin doğrulanması ve
iddia edilen kullanıcı olduğunu teyit edilmesidir. Kimlik doğrulama şifre, manyetik
kartlar, şifreli sertifikalar ve biyometrik parametreler gibi araçlarla yapılabilir.
3.2 Güvenliğin Bileşenleri
Bilgi teknolojilerinde güvenliği tam sağlamakta çeşitli bileşenler kullanılmaktadır.
Bu bileşenler yazılım, donanım ya da hem yazılım hem de donanımın birlikte
15
kullanımı şeklinde olmaktadır. Güvenliği sağlamak adına kullanılan bileşenler
şunlardır:
Güvenlik Duvarı (Firewall): Ağ giriş ve çıkış işlemlerini veri paketlerinin başlık
bilgilerini çözümleyerek kaynak IP (Internet Protocol, IP), hedef IP, kaynak port ve
hedef port bilgileri temel alınarak önceden tanımlanmış kurallara göre yöneten, trafik
akışını engelleyen ya da trafik akışına izin veren yazılımdır. Yönlendirici cihazların
(router) kullandığı temel mantığa dayanmaktadırlar. Her güvenlik duvarı bir
yönlendiricidir, her yönlendirici güvenlik duvarının yaptığı işleri yapabilir. Temel
fark, cihazların kullanılma amaçlarına göre yeteneklerinin geliştirilmiş olmasıdır. Öte
yandan IP tabloları da güvenlik duvarı olarak kullanılabilirler.
Sanal Özel Ağ (Virtual Pritave Network, VPN): Herhangi bir yerel ağ ile internet
ağı ya da internet ağındaki herhangi bir yerel ağ arasında özel ve veri trafiğini çeşitli
algoritmalar kullanarak şifrelemek suretiyle güvenli ağ bağlantısı kuran teknolojidir.
Bir tane fiziksel bağlantı üzerinde farklı özel bağlantı kurulması sanallaştırmanın ağ
üzerinde bir gerçeklemesidir [14]. VPN, yerel ağın başka bir yerel ağa bağlanırken
internet üzerinden bir çeşit “tünel” açması ve bu tüneli kullanması olarak simüle
edilebilir.
Saldırı Tespit Sistemleri: Bir ağa karşı yapılan saldırıları tespit etmek maksadıyla,
ağa giriş çıkış yapan veri trafiğini izlemek suretiyle saldırıyı tanımlamak, kaynağını
belirlemek ve sistem yöneticilerini gerekli önlemleri almaları için uyaran yazılım ve
donanım sistemleridir. Etkili bir IDS kullanımı ağ güveliğinin önemli bir kısmını
oluşturmaktadır.
Saldırı Önleme Sistemleri: Bir yerel ağa giren ve çıkan trafiği izleyerek, tespit
edilen saldırıları gerçek zamanlı olarak engelleyen ve reaksiyon gösteren yazılım ve
donanım sistemidir.
İçerik (Web) Filtreleme: Ağdaki bilgisayarların web isteklerini izleyerek web
sayfasının önceden belirlenmiş kurallara uygun olup olmadığını tespit eden yazılım
ve donanım sistemidir.
Birleştirilmiş Tehdit Yönetimi (Unified Threat Management, UTM): Saldırıların
çok yönlü geliştiği gerçeğini ele alarak virüs, spam, adware benzeri saldırı ve zararlı
yazılımların oluşturduğu tehditlere karşı önlemleri tek bir sistem üzerinde toplayan
sistemleridir. Temel avantajları yönetim kolaylığı ve düşük maliyetleridir. UTM’ler
16
sayesinde hem güvenlik noktalarında bütünleşik kontrol sağlanmakta hem de
güvenlik maliyetleri düşürmektedir. UTM’ler, donanım kapasitelerinde dolayı
genellikle düşük veri trafiği olan yerel ağlarda kullanılmaktadır.
Ağ Erişim Kontrolü (Network Access Control, NAC): Yerel ağ üzerinde
kullanılan bilgisayarların ve ağ cihazlarının güvenlik önlemlerinin istenen seviyede
olup olmadığını kontrol eden, olumsuz raporlanan bilgisayarların ve cihazların ağ
iletişimine girmesini önleyerek bireysel güvenlik açıklarını en aza indirgeyen
yazılımlardır.
3.3 Bilgi Güvenliği Türleri
Bilgi güvenliği, ağ güvenliği, sistem güvenliği ve veri güvenliği olarak üç türde
incelenebilir.
3.3.1 Ağ güvenliği
OSI katmanlarının bütün aşamalarında uygulanmakta olan ve bilgi sistemlerinin
kullanmış olduğu altyapının güvenlik gereksinimlerinin de dahil olduğu ağ güvenliği,
bilgi sistem ağında uygulanan politikaları, yazılımsal tedbirleri ve donanım
güvenliğini ve kötü amaçlı yazılımları ve bunların kullanılmalarını önlemeyi kapsar.
Ağ güvenliği ve yönetimi sürekli yaşayan bir süreçtir ve ağ var olduğu sürece hiçbir
zaman ihmal edilmemelidir.
Yerel ağ üzerinde bulunan donanım, yazılım ve diğer unsurların oluşturduğu sistemin
güvenliğini sağlamak, sistemin bütünlüğünün, çalışabilirliğinin, güvenilirliğinin ve
gizliliğinin sağlanması ve gerekli yazılım ve donanım güncellemelerinin
yapılmasıdır.
Ağ güvenliğinin yeterli bir şekilde sağlanması için bir takım uygulamaların
yapılması gerekmektedir. Güvenlik yöntemleri ağ üzerinde bulunan bütün veri
paketlerine uygulanmalı, mümkünse istisna durumlar tanımlanmamalıdır.
Yöntemlerin uygulanması kullanıcı odaklı uygulanmalı, cihaz temelli uygulanan
yöntemler sadece sunumcu bilgisayarlara tanımlanmalıdır. IDS ve IPS sistemleri
sürekli çalışır vaziyette bulunmalı, yapılandırmaları detaylı ayarlanmalı ve belli
aralıklarla raporlar incelenerek yapılandırmada iyileştirmeler yapılmalıdır. Ağ
üzerinde bulunan kritik cihazların ve önemli faaliyetlerin kayıtları tutulmalı, etkili bir
17
raporlama sistemi oluşturulmalıdır. Kullanılan bütün yöntemler ağda performans
düşüklüklerine sebep olmamalıdır.
Günümüz yerel ağlarının hemen hemen hepsi gerek internet ortamında gerekse
intranet ortamında başka ağlarla iletişim halinde olan “açık” ağlardır. Bu ağların
bilinmeyen çevrelerde sürekli olarak tehditlerle karşı karşıya kalabileceği açıktır.
3.3.2 Sistem güvenliği
Bir sistemin güvenliği, içinde barındırdığı veri, yazılım ve donanımın güvenliği
anlamına gelmektedir. Bir ağ üzerindeki herhangi bir elemanın güvenlik açığının
bulunması bütün ağı tehditlere açık hale getirir. Bilgi sistemlerindeki gelişmeler ve
sistemlerin genellikle bir ağa bağlı olmaları sonucu açık hale gelmesi, bilgi
hırsızlığına yönelik yazılımları ve bu yazılımların kullanıcılarını yaygınlaştırmıştır.
Bu kullanıcılar da her geçen gün yeni yazılımlar ve yeni yöntemler oluşturmaktadır.
Virüs, adware, solucan (worm), turuva atı (trojan) ve spam gibi zararlı yazılımların
kullanılan sistemlere etki etmesini ve zarar vermesini engellemek maksadıyla etkin
kullanılan, konfigürasyonu detaylı yapılmış ve anlamlı kurallardan oluşan aynı
zamanda sürekli güncel tutulan antivirüs, antiadware gibi sistem araçları ile birlikte
e-posta ve web güvenlik yazılımları kullanılmaktadır.
Sistemin kullanımı esnasında, sistem güvenliği için kullanılan araçlar, gerek
kullanıcılardan fazladan bir doğrulama istemesi gerekse sistem performansında belli
düşüklükler olmasından kaynaklanan kullanışlılık eksiklikleri ile karşılaşacaktır. Bu
durumda kullanışlılık ile güvenlik arasında bir tercih söz konusudur. Kullanıcılar ve
sistem tasarımcı ve üreticileri tercihini güvenlikten yana kullanmalıdırlar.
3.3.3 Veri güvenliği
Veri güvenliği, verilerin saklanması ve iletimi esnasında şifreleme ve dijital imza
gibi yöntemlerle gerek verinin depolanması, gerekse bir yerden bir yere taşınması ve
iletilmesinde şifreleme (simetrik ve asimetrik) ve dijital imza gibi yöntemlerle
sağlanmaktadır.
Özellikle kişisel kullanımlarda verilerin gizliliği yerine ulaşılabilirliği daha çok öne
çıkmaktadır. Kişisel bilgisayarlar yapıları dolayısıyla hata tolerans katsayıları
düşüktür. Maliyet etkin olma şartlarından dolayı, gerek güç kaynağında gerekse sabit
18
disklerin kullanımında yedeklilik olmamaktadır. Bu durumda herhangi bir disk
arızasında kişisel verilere ulaşma neredeyse imkansız olmaktadır. Bu durumlar için
“bulut bilişim” kullanıcılara güvenli depolama, yedekleme ve felaket kurtarma
önlemleri sunmaktadır [10].
19
4. BİLGİ GÜVENLİĞİNİ TEHDİT EDEN UNSURLAR
Bilginin taşınma ve depolanma ortamının değişmesi, kağıt yerine bilgisayar
ürünlerinin kullanımı sonucu bilgiyi tehdit eden elemanlar değişiklik göstermiştir.
Bunun yanında, bilginin mobilitesinin artması sonucu iletim ortamlarının güvenliği
en az depolama ortamlarının güvenliği kadar önem taşımaktadır. Böylece iletim
ortamlarındaki tehditler, doğrudan bilgiyi tehdit eder hale gelmiştir.
Günümüz teknolojisinde bilgi miktarının da her 18 ayda bir ikiye katlanması, bu
devasa boyuttaki bilgilerin korunmasını hem güçleştirmekte hem de güvenliğin
önemini artırmaktadır. Üretilen, depolanan ve iletilen bilginin hemen hemen
tamamının elektronik ortamlarda bulunması “bilgi güvenliği” kavramının “bilişim
güvenliği” olarak anlaşılmasına yol açmıştır.
Bilgi güvenliğine karşı tehdit oluşturan elemanlar şunlardır:
4.1 İçeriden Gerçekleştirilen Saldırı (Inside Attack)
Sistemin içinden, kurumdan ya da ağ içerisinde kalmaya yetkili bir kullanıcının,
kendi yetkisinden daha fazla hak elde etmesi sonucu sistemin işleyişini bozması ve
üst yetkideki sistem araçlarına ulaşması sonucu yapılan saldırılardır.
4.2 Programlama Dillerindeki Zayıflıkları Kullanan Saldırılar
Programlama dillerinin karakteristiklerinden faydalanan uzman program yazıcıları,
fonksiyonlara veri gönderilme esnasında özel karakterlerden faydalanarak dizgi
formatını değiştirmeleri sonucu hafızaya yetkisiz erişimde bulundukları saldırılardır
[15].
4.3 Virüs
Kendi kendini otomatik olarak çoğaltan, taşıyıcı bir programa ihtiyaç duyan ve
kendini bir sistemden diğerine yayan kod parçalarıdır. Temel amacı bilgisayar
kaynaklarına zarar vermektir.
20
4.4 Solucan
Kendilerini çok büyük sayılarda çoğaltabilen, bir programdan bağımsız işlev gören
ve ağ içinde yayılabilen programlardır.
4.5 Truva Atları (Trojan)
Bilgisayar kullanıcıları tarafından başka yararlı işlevler gören bir program
görünümündeki truva atları, saldırgan tarafından yazılmış özel kodlar barındırır ve bu
sayede bilgisayar kaynaklarına ve verilerine ulaşır.
4.6 Reklam Yazılımı (Adware)
Genellikle bilgisayara doğrudan zarar vermeyen, ağ üzerinde kullanıcıyı istenci
dışında reklama maruz bırakan yazılımlardır. Çok sayıda çalışması halinde
kullanıcının sistem performansını önemli ölçüde düşürürler.
4.7 Casus Yazılım (Spyware)
Bilgisayara kurulan yazılım sayesinde bilgisayar kullanıcılarının verilerini habersiz
bir şekilde yazılım sahiplerine gönderen programlardır. Virüslerin aksine kendini
kopyalamaz, tek bir kod bloğu halinde sistem içinde görevini yaparlar.
4.8 Kök Kullanıcı Takımları (Rootkit)
Amacı kendisini bulunduğu sistemde gizlemek olan yazılımlar, sistem üzerindeki
aktif halde bulunan işlemleri, süreçleri ve sistem ile alakalı bilgileri işletim
sisteminden gizlerler.
4.9 Hijackers
Gerçek bir sitenin Web sitesi adresinin benzerine sahip bir web sitesi kurarak ve
içerik olarak gerçek web sitesini kopyalayarak kullanıcıyı kandıran ve genellikle
banka veya kullanıcı hesap bilgilerini ele geçirmeye çalışan programlardır.
21
4.10 Araç Çubukları (Toolbars)
İnternet tarayıcıları içine monte edilmiş yazılımlardır. Kendi kendini çoğaltmayan bu
tür yazılımları genellikle kullanıcı farkına varmadan yükler ve bir çeşit reklam
yazılımı işlevi görür.
4.11 Çeviriciler (Dialers)
Çevirmeli ağlarda özel kodlu numaraları çevirerek kullanıcının faturasının yüksek
gelmesine neden olan, arandığı numaraya para kazandıran zararlı yazılımlardır.
4.12 Keylogger
Bilgisayara gizlice kurulan yazılımlar, bütün klavye vuruşlarını yazılımı kuranın
belirlediği noktaya gönderirler. Kullanıcıya ait bütün şifre bilgileri ve yazılım aktif
olduğu andaki yazışmaları çalınabilir.
4.13 Arka Kapı (backdoor)
Saldırganların bir düğüm üzerinde uzlaştıktan sonra bu düğümü kullanıcıdan
habersiz DDoS saldırıları için zombi olarak kullandıkları pasif atak türüdür. Truva
atları ve benzer yapıdaki yazılımlar düğümü ele geçirmek için yardımcı olurlar.
Sistem zombi olarak ele geçirildikten sonra üzerindeki her türlü veriye kolayca
erişilebilir [16].
4.14 Mesaj Sağanağı (SPAM)
Kullanıcılara istenci dışında gönderilen e-postalardır. Amacı genelde reklam olan e-
postalar, kullanıcıların e-posta kutularını doldurur ve zaman kaybına yol açarlar.
Ayrıca, e-posta veritabanlarına da ciddi yük oluştururlar.
4.15 IP Gizleme (Spoofing)
IP gizleme, hackerların farklı bir kullanıcı gibi görünerek ya da geçersiz e-posta
adresleri ile kendilerini farklı biçimlerde tanıtıp ve aldatıcı faaliyetler sonucunda
gerçek kimliğini saklamak için yapılan güvenlik tehditleridir.
22
4.16 Korsanlık (Sniffing)
Ağ iletişiminde kullanılan tablolara hakim olarak ağı üzerinde dolaşımdaki veriyi
habersiz biçimde dinleyen saldırı türüdür. Bu şekilde ağ içerisindeki bütün e-
postalar, dosya sunucuları ve ağ içi ve ağ dışı iletilen her veri çalınabilir.
4.17 Ortadaki Adam Saldırısı (Man in the Middle Attack)
Saldırganın, iletişim halindeki iki uç arasına konumlanıp, köprü vazifesi görerek
bütün iletişimi kendi üzerinden yaptırdığı ve böylece iletişimin her verisine sahip
olduğu saldırılardır. Çoğunlukla MAC (Medium Access Control, MAC) adresleri
değiştirilmek suretiyle meydana gelir.
4.18 Hizmet Reddi Saldırıları (Denial of Servise, DoS)
Hizmet sağlayıcı sunucuya bilinçli olarak aşırı miktarda istek yapılıp, sunucunun
gerçek isteklere cevap veremez hale getirildiği saldırılardır.
23
5. SANALLAŞTIRMA
Sanallaştırma teknolojileri 20. yüzyılın son çeyreğinde araştırmacıların dikkatini
çekmesine rağmen, o günkü teknik yetersizliklerden dolayı istenen verim alınamamış
ve çalışmalar rafa kalkmıştır. 21. yüzyılın başlarında ise, sanallaştırma teknolojileri
kullanılacak sistemlerin ucuzlaması ve yaygınlaşması nedeniyle bilgi sistem
araştırmalarında hızla yaygınlaşan bir konu olmuştur.
Sanallaştırma çok eski bir olgu olmasa da, modern sistem altyapılarında yaygın
olarak kullanılmakta ve sanallaştırmanın getirdiği avantajlar dolayısıyla vazgeçilmez
olma yolunda hızla ilerlemektedir. Sanallaştırma, OS’in altında yattığı ve fiziksel
donanımın bulunduğu ortam ile aynı davranışları gösteren yazılım katmanının
(Hypervisor, Virtual Machine Monitor - VMM) sarmallanmasını içerir [17].
Üssel ölçeklendirme yasalarının kullanışı bilgisayarları çok daha hızlı, ucuz ve hızla
birbirlerine bağlı hale getirmesi, bilgisayarların akademik, kurumsal, ticari ve kamu
alanlarında “her zaman ve her yerde” bulunabilmesini sağlamıştır [18].
Bilgisayarların birçok yerde ve yaygın olarak kullanılması yönetimsel karmaşıklığa
ve güvenlik konularında zorluklara neden olmuştur. Bu üssel ölçeklendirme yasaları
ve buna bağlı sonuçlar aynı zamanda yukarıdaki zorlukları çözebilecek temel konu
olan sanallaştırma teknolojilerine ihtiyacı ortaya çıkarmış ve sanallaştırmayı
gerçeklemeye de imkan sağlamıştır.
Sanallaştırma, mevcut donanımı mantıksal bölümlere ayırarak bir fiziksel makinenin
sanal makineler (Virtual Machine - VM) oluşturmak suretiyle birden fazla makine
olarak kullanılmasını sağlayan, donanımın kullanılma oranlarını artıran, sistem
üzerinde kullanılan yazılımların fiziksel donanıma bağımlılığını en aza indiren,
sistem maliyetlerini önemli ölçüde azaltan, kullanılan sistemin önemli ölçüde
ölçeklenebilmesini sağlayan ve sistemin istenen boyutlara genişlemesinde sorunları
en aza indiren bir yöntemdir. Sanallaştırma teknolojileri, sanal makineleri birbirinden
izole edebilir ve sanal makinelerdeki programların güvenli bir şekilde çalışmasını
sağlar.
24
Sanallaştırmanın teknolojilerinin uygulanmasındaki ana amaç, kullanılan sistem,
donanım ve iş yükünün ölçeklenebilir olmasını sağlarken, kullanılan kaynakların
merkezileştirilmesidir.
Sanallaştırma teknolojilerinin maliyet ve kaynak tasarrufu sağlamasının yanında en
önemli faydası, sanal makineler arasında ve kullanılan sunucu sistemlerinde dinamik
olarak yük dengeleme yapabilme kabiliyetidir [19].
Geleneksel fiziksel makinelerde kaynaklara olan talep aşırı derecede arttığı
durumlarda kaynaklar darboğaza girer. Bu durumlarda çözüm olarak uygulamalar
sonlandırılır ve bu uygulamaların kullandığı kaynaklar serbest bırakılır.
Sanallaştırma teknolojileri kullanıldığında, yük dengeleme kabiliyeti sayesinde diğer
sanal makinelerin kullanmadığı ve atıl durumdaki kaynakları ihtiyaç duyan
uygulamalara aktararak sistemin darboğaza girmesini ve uygulamaların zamansız
sonlanmasını önler.
Sanallaştırma teknolojilerinin kullanıldığı sistemler üzerinde verimlilik, süreklilik ve
işlevsellik avantajlarının yanı sıra, bilgi güvenliği alanında olumlu etkileri
gözlenmiştir. Sanal makineler, kendi kaynaklarını olası ataklardan ve sistem
bünyesindeki zararlı yazılım parçalarından yalıtılmış tutabilirler. Sanal makinelerin
bu kabiliyeti, sanal sisteme ve uygulamalarına karşı yapılacak atakları önlemeyi
kolaylaştırır [20]. Sanallaştırma, soyutlamanın farklı seviyelerinde gerçekleşebilir.
Geleneksel bilgisayar sistemlerinde OS, yazılım ve donanımı yönetmek üzere
donanımın üzerinde kurulmaktadır. OS bütün sistemi kontrol edecek şekilde en
ayrıcalıklı bölümde bulunmaktadır. Böylece, OS bütün sistemin güvenliğini
sağlamaktan da sorumludur. Fakat günümüz OS’lerin karmaşık derecesi yüksek
olması dolayısıyla zararlı yazılımların ve saldırıların odak noktasını oluşturur. OS
kırıldığında bütün sistem zarar görür ve geri dönülemez hale gelir [21]. VMM
kodları daha kısa ve basit olduğundan, VMM kodlarının kaliteli olmasını sağlamak
OS kodlarına göre daha kolaydır.
5.1 Sanal Makine
Sanal makine tanımını ilk olarak Gerald J. Popek ve Robert P. Goldberg tarafından
1973 yılında yapılmıştır. Bu tanımda, sanal makine, gerçek makinenin etkili,
soyutlanmış bir kopyasıydı. Sanal makine tekniğinin avantajları, işletim sistemlerinin
25
gelişimini kolaylaştırmak, program dönüşümlerine yardımcı olmak ve bu programları
farklı işletim sistemleri üzerinde çalışabilmesine izin vermek olarak sayılmıştır [22].
Sanal makineler tipik olarak yeni işletim sistemi geliştirme ve deneme, farklı işletim
sistemlerinin aynı donanım üzerinde aynı anda çalışmalarını sağlama ve sunumcu
konsolidasyonu amaçlarıyla kullanılır [23].
Sanal makine, CPU, rastgele erişimli bellek (Random Access Memory, RAM) ve
girdi-çıktı (input-output - I/O) cihazlarından oluşan fiziksel makine gibi davranan
yazılımsal soyutlamadır. Sanal makinelerin ortamı VMM tarafından sağlanmaktadır
ve VMM ayrıca “işletim sistemlerinin işletim sistemi” olarak adlandırılır [24]. Sanal
makineler (VM), kendi servislerini kullanarak sistemin güvenliğini ataklara karşı
güçlendirebilirler [25].
5.2 Yalıtım
Yalıtım, sanal ortam içinde herhangi bir işlemin başka bir VM üzerindeki
uygulamalar tarafından müdahale edilemeyecek şekilde yazılımı sınırlandırmaktır
[26].
VM’ler içine işletim sistemleri kurarak, sadece aynı donanım üzerinde çalışan
yazılımlar üzerinde değil, donanım ve üzerinde çalıştığı işletim sistemi arasında da
daha yüksek derecede bir yalıtım gerçekleştirilebilir [27].
Yalıtım sayesinde saldırı ve zararlı yazılım analizleri iyice kolaylaşır. Çünkü zararlı
kod örneği, analiz yapan kişinin tam kontrole sahip olduğu sanal ortamda
çalıştırılabilir ve her bir örnek kod için yeni bir fiziksel makine kurma gereği yoktur
[28]. VM uygulamalarının güvenliği öncelikle yalıtım özellikleriyle alakalıdır.
Yalıtım özellikleri iki açıdan incelenebilir:
5.2.1 Yalıtım kategorileri
Yalıtımın derecesine göre üç farklı yalıtım kategorisi vardır: Mutlak yalıtım, güçlü
yalıtım [29] ve zayıf yalıtım [30]. Mutlak yalıtımda VM’ler arasında hiçbir şekilde
bağlantı ve iletişim yoktur. Güçlü yalıtımda, VM’ler arasında veri alışverişi
yapılabilir fakat iletişim ve veri alışverişi kontrol altındadır. Zayıf yalıtımda, VM’ler
doğrudan iletişim kuramazlar fakat “yalıtım katmanı” üzerinden haberleşebilirler.
26
5.2.2 Yalıtım teknikleri
Yalıtım tekniklerine göre, alan adı yalıtımı [31], adres yalıtımı, alan yalıtımı [32] gibi
teknikler vardır. Alan adı tekniğinde, varlıklar oluşturulur ve bu varlıklara erişim
alan adlarıyla sınırlandırılır. Yetkilendirilen alan adı dışındaki bir alan adından erişim
sağlanamaz. VM’ler alan adlarına tahsis edilir ve aynı platformdaki VM’ler dahi
başka alan adlarına sahip olduklarında iletişim kuramazlar. Adres yazılımında hafıza
(RAM) adresleri birkaç bölüme ayrılır ve bu bölümler ilgili varlıklara tahsis edilirler.
Bir VM sadece tahsis edilen bölümdeki verilere ulaşabilir, diğer bölümlere erişim
sağlayamaz. Alan yalıtımında, fiziksel kaynaklar sanallaştırılır ve uygun kaynaklar
VM’lere tahsis edilirler. VM’ler arası kaynak paylaşımı yoktur.
5.3 Sanallaştırmanın Kullanıldığı Alanlar
Sanallaştırma günümüzde birçok alanda kullanılmaya başlamış ve yaygın olarak
kullanılmaya devam edecektir. Geleceğin bilişim teknolojisi ve bilgi sistemlerinin
dahi taşınacağı “bulut bilişim” (Cloud Computing) günümüzde çoğunlukla
sanallaştırma altyapısına dayanmaktadır. Bulut bilişim sistemleri sanallaştırılmış
olabilir ya da olmayabilir. Fakat sanallaştırılmış bir altyaıpı, kaynak ulaşılabilirliğini
artırır, esneklik ve yönetimsel kolaylıklar sağlar. Yapılan detaylı araştırmada,
Bourguiba M. ve El Korbi I. özellikle I/O performansında, paketlerin
gönderilmesinde 10 kata kadar bir artış sağlandığını tecrübe etmişlerdir [7].
Sanallaştırma eğitim alanında da yoğun bir şekilde kullanılmaya başlanmış ve
merkezi olmayan, dağıtılmış laboratuarlar sanallaştırma teknolojileri kullanılarak
hayata geçirilmiştir [33].
Sanallaştırma teknolojilerinin kullanıldığı alanlar dört ana şekilde sınıflandırılabilir.
Ağ sanallaştırması, sunucu sanallaştırması, işletim sistemi (Operating System - OS)
sanallaştırması ve depolama alanı sanallaştırması.
5.3.1 Ağ sanallaştırması
Ağ sanallaştırması, çoklu servis sağlayıcılarının dinamik olarak birbirlerinden ayrı
bir şekilde yalıtılmış sanal ağlar oluşturmasını sağlayan ağ ortamıdır. Bu ağlar uçtan
uca hizmet dağıtabilirler. Sanal ağlar, ağ kaynaklarını kullanıcılar için etkili bir
şekilde paylaştırılabilir ve verimlilik esasına göre yönetilebilirler [34].
27
Ağ sanallaştırması, ağ üzerindeki kaynakları, ağa bağlı kullanıcılara bağımsız şekilde
paylaştırılmasıdır. Bant genişliğinin bağımsız kısımlarını, kullanıcılara gerçek
zamanlı olarak tahsis eder ve bu tahsisli alanlar başka kullanıcılara karşı gizlenir. Bu
sayede servis kalitesi (Quality of Service – QoS) sağlanması kolaylaşır. Sanal ağ,
sanal bağlantılardan, sanal barındırıcı bilgisayarlardan ve sanal yönlendiricilerden
oluşur.
Ağ sanallaştırması sayesinde sanal yönlendirme ve sanal ağ uygulamaları güvenlik
alanındaki birçok problemin çözümüne katkı sağlamıştır. Ağ sanallaştırması, sunucu
ve depolama alanı sanallaştırmalarından sonra, bulut bilişim bulmacası için eksik
olan parçaydı [35]. Ağ sanallaştırması da gerçekleştikten sonra bulut bilişim fikri
hayata geçirilmiştir.
Sanal Özel Ağ (Virtual Private Network – VPN) uygulamaları, sanallaştırma
teknolojilerinin ağ üzerindeki somut örnekleridir. Ağ üzerinde, mantıksal olarak özel
bir ağ oluşturulmuş ve ortamdan yalıtılmıştır. Bu yalıtım, verinin açık olan internet
üzerinde bile güvenli olarak yol almasını sağlayan bir şifreleme metodu olarak
kullanılmaktadır.
5.3.2 Sunucu sanallaştırması
Sunucuların atıl kalan kaynaklarının kullanılması maksadıyla, ortak bir havuzda
toplanması suretiyle, kaynakların bir tek sunucuya değil, birden fazla sunucunun
ortak kullanımına tahsis edilmesi ve yük dengeleme yöntemleriyle performans ve
kapasitenin artırımının sağlanmasıdır. Sanallaştırmanın en çok kullanılan şeklidir.
Sunucu sanallaştırması paylaşım ve kullanımı artırır, sunucuların alan olarak
yayılmasını önler, enerji tasarrufu sağlar, bakım masraflarını azaltır ve donanım
ihtiyacını en aza indirir.
Sunucu sanallaştırması, farklı yazılımların sadece kendi sanal ortamlarında
çalışmasını sağlayarak, sistemin güvenliğini artırıcı rol oynar [36]. Örneğin saldırılar
sadece meydana geldiği sanal ortamda sınırlandırılmış olur. Böylece diğer sanal
makineler saldırıdan etkilenmez. Ayrıca yazılımdan kaynaklanan hatalar sadece tek
bir sanal makineyi etkiler, diğer sanal makineleri etkilemez. Bu sayede sistemin
çalışılabilirliği artmış olur.
28
Ayrıca, sunucu sanallaştırması sayesinde felaket kurtarma ve geri getirme, adli
bilişim analiz ve araştırmaları, saldırı tespit ve önleme faaliyetleri kolaylaşır.
5.3.3 İşletim sistemi (Operating System - OS) sanallaştırması
İşletim sistemi (Operating System – OS) sanallaştırması, uygulamaların şeffaf bir
şekilde başka makinelere taşınması, fiziksel sunucuların konsolidasyonu, çalışır
halde iken (online, çevrimiçi) OS bakımı yapılması ve güçlendirilmiş bir sistem
güvenliği gibi avantajlar sağlar. OS sanallaştırmasında, sunucular üzerindeki
uygulamaların güvenlik olarak kırılgan yapıda olanlarının aynı VM’i kullanırken bile
diğerlerinden izole edilebilmesi sağlanmaktadır. OS’lerde hatalı uygulama
olduğunda, bu hatalı uygulamaların diğer OS’lere taşınması suretiyle hata toleransı
sağlanmaktadır. Uygulamaların göç edilebilmesi sayesinde dinamik yük dengeleme
yapılabilmekte, OS bakımı yapılacak sistemlerin üzerindeki uygulamaların çalışır
vaziyette göç ettirilebilmesi, uygulamalardaki kesinti zamanlarını en aza indirir [18].
OS sanallaştırması OS ile üzerinde çalışan uygulamaları birbirinden ayırarak
uygulamaların tek başlarına sanal ortamda çalışmalarını sağlar. Bu ayrışım
uygulamaların tek olarak göç ettirilmesine imkan sağlar. Böylelikle sistemin
esnekliği artar. OS bakımları sırasında uygulamaların yalnız ve bağımsız olarak göç
ettirilebilme özelliği sayesinde OS sanallaştırması biçilmiş kaftandır.
5.3.4 Depolama alanı sanallaştırması
Depolama alanı sanallaştırması, fiziksel depolama alanlarının mantıksal olarak farklı
bir şekilde görülmesini sağlar. Genelde, birçok fiziksel depolama ünitesinin tek bir
depolama ünitesi olarak birleştirilmesidir. Bir diğer kullanım şekli olarak farklı
ağdaki fiziksel depolama alanlarının tek bir depolama alanı gibi kullanılmasını
sağlayacak şekilde mantıksal olarak birleştirilmesini ifade eder [26].
Veri hacminin büyümesi ve internet uygulamalarının çeşitlenmesiyle birlikte veri
merkezleri (Data Center - DC) veriye ulaşmada etkili bir çözüm olarak ortaya
çıkmıştır [37]. Depolama alanı ağı, bulut bilişim, kurumsal ağ ve internet erişimi gibi
işlevler gören, geniş bir coğrafi alana ve çok sayıda kullanıcıya hizmet veren büyük
veri merkezlerinde fiziksel depolama alanı kapasitesi ve performansı yetersiz
kalmıştır. Bu merkezleri kullanan uygulamalar sıklıkla çeşitli kaynakları (depolama
alanı, güç, işlemci, bant genişliği) tüketirler. Veri merkezleri çok sayıda sunucuya
29
bağlıdır ve bu sunucularda I/O faaliyetleri düşük güç tüketmeli ve gecikme çok
düşük olmalıdır. Esnek olmayan klasik veri merkezi mimarisinde, kullanıcı
uygulamalar düşük QoS, yönetimsel zorluklar ve saldırılara karşı savunma zorluğu
gibi sorunlar yaşarlar [38]. Depolama alanları dağıtık yapıda tasarlanmış ve
sanallaştırma teknolojileri kullanılarak mantıksal olarak birleştirilmiştir.
Sanallaştırılmış DC’lerde yönetimsel esneklik sağlanmış, daha düşük maliyetlerle
aynı işlemler yapılmış, ölçeklendirilebilir hale gelmiş, kaynak ve enerji verimliliği
üst seviyeye çıkmıştır. Aynı zamanda sanallaştırılmış bir I/O yönetimi ve
sanallaştırılmış ağ altyapısı DC’lerin ihtiyacı olan hızı sağlamaktadır [39].
Storage Area Networks (SAN) yaygın bir depolama alanı sanallaştırması örneğidir
[40]. Örnek olarak, Mantıksal Birim Numarası (Logical Unit Number – LUN )
depolama alanı sanallaştırmasının uygulamasıdır. Mantıksal olarak birleştirilmiş
alanların, yine mantıksal olarak bölümlendirilmiş ve yalıtılmış halidir. LUN,
uygulamada sanal alanların fiziksel alan gibi kullanılmasını sağlar.
Günümüzde Amazon, Google, Facebook gibi büyük organizasyonlar depolama alanı,
internet arama ve büyük ölçekli hesaplama işlemleri için DC’leri kullanmaktadırlar
[41]. Bulut bilişim teknolojilerinin yaygınlaşmasıyla beraber sanallaştırılmış DC
kullanımı çok büyük ölçülerde artmaya devam etmektedir.
5.3.5 Donanım sanallaştırması
Donanım sanallaştırma teknikleri, OS sanallaştırmasının aksine, OS ile donanımı
birbirinden ayırarak OS üzerinde çalışan bütün uygulamaların donanımdan bağımsız
şekilde sanal ortamda çalışmalarını sağlar ve böylece bütün donanım altyapısını
sanallaştırır. Her bir OS başka bir VM’e göç ettirilebilir. Fakat bu seviyede OS
sanallaştırmasında olduğu gibi uygulamalar tek olarak göç ettirilemez.
5.4 Sanallaştırmanın Faydaları
Sanallaştırma teknolojileri maliyet ve kaynak tasarrufu sağlarlar. Bununla beraber
sanal makineler arasında ve kullanılan sunucu sistemlerinde dinamik olarak yük
dengeleme yapabilmeleri önemli özellikleridir. Uygulamalar darboğaza girdiği
durumlarda yük dengeleme sayesinde ihtiyacı olan uygulamalara kaynak aktarımı
yapılır. Bu özelliği de, donanımın etkin ve verimli kullanılmasını sağlar.
30
Sunucu konsolidasyonu sanallaştırmanın çözüm bulduğu önemli bir konudur. Sistem
yöneticilerinin zihninin bir kenarında sürekli olarak duran bu konu sanallaştırma
sayesinde çok kolaylaşmıştır. Sunucu konsolidasyonu için, sunucu ve fiziksel cihaz
sayısının azaltılması, etki ve verimli olarak kullanılması hedeflenir. Bu sayede enerji,
maliyet ve yönetimsel tasarruflar sağlanacaktır. Sanallaştırmanın sunucu tarafında
yaptığı da tam olarak budur.
Bilgi sistem merkezleri, kablosuz algılayıcı ağlar gibi enerji sorunu yaşamasalar da,
enerji konusu sunucuları ve soğutma sistemlerini doğrudan ve önemli ölçüde
ilgilendirir. Sunucuların enerji harcamalarını kısmak, hem güç maliyetlerini hem de
dolaylı olarak soğutma maliyetlerini de düşüreceği için önemsenir. Sanallaştırma
teknolojileri kullanılan merkezler, donanım ve enerji maliyetlerini %60-70 oranında
[26], başka bir araştırmada ise %80’den fazla oranda [42] düşürmektedir.
Sanallaştırma teknolojileri, avantajlarını verimlilik, işlevsellik ve süreklilik
alanlarının yanında güvenlik alanında da gösterir. İzolasyon yeteneği, sanal
sistemleri, aynı ortamdaki sistemlerden ayırarak zararlı yazılımların hedefi olmaktan
çıkarır.
Sanallaştırmanın bir diğer yararı, yük devretme özelliğidir. Bu sayede çöken sistemin
bütün yükleri, eş zamanlı olarak diğer sisteme devredilerek veri kaybı ve hizmet
kesintisi olmaz.
Sanallaştırma tekniği ve sanal makine kullanımı her ölçekteki sistem ya da ağda
birçok faydalar sağlamaktadır. Bunlar:
Sunucu kapasitesinin yüksek verimde kullanımı,
Hızlı bir şekilde yeni sanal makine oluşturulması,
Donanım maliyetlerinde önemli ölçüde azalma,
Yönetim ve bakım maliyetlerinde azalma,
Çeşitli sistem testleri ve yazılım geliştirme için yüksek sayıda, farklı
özelliklerde ve modelde sanal makine kurulabilmesi,
Herhangi bir arıza durumunda (yazılımsal, işletim sistemi çökmesi,
elektriksel vs.) sistemin hızlı bir şekilde ayağa kalkması,
Merkezi yönetim, monitörleme ve raporlama,
31
Bir işletim sistemi altındaki farklı işletim sistemleri çalıştırabilme,
5.5 Sanallaştırmanın Zorlukları
Sanallaştırma, birçok faydasının yanında bazı zorlukları da barındırır. İyi bir I/O
performansına rağmen, çoklu kullanılan fiziksel cihazların zaman tahsisi ve
önceliklendirme konularında performans düşüklüğü yaşanabilir.
5.6 Sanallaştırmada Kullanılan Özel Yazılım
Sanallaştırma yazılımı, OS ve uygulamaları fiziksel ortamdan soyutlar, üzerinde
çalıştığı donanımı ve kaynakları sanal makinelere tahsis eder, bu kaynakları sanal
kaynaklar olarak yönetir ve paylaştırır. Bu yazılımlar “hipervizör” olarak bilinir.
Bilinen “hipervizör” yazılımlarından bazıları, KVM, ESX(i), Hyper-V, XenServer ve
PowerVM’dir.
Sanallaştırma Yazılımlarını açık kaynak kodlu ve ticari yazılımlar olmak üzere iki
sınıfta inceleyebiliriz:
5.6.1 Açık kaynak kodlu sanal makine yazılımları
Açık kaynak kod mantığı ve lisansı ile dağıtılan bu yazılımlar başlıca VirtualBox,
Xen, Bochs, CoLinux, FAUmachine, Hercules emulator, KVM, LilyVM, QEMU,
SheepShaver olarak sıralanabilir.
5.6.2 Ticari sanal makine yazılımları
Ticari anlamda başlıca kullanılan yazılımlar arasında VMware, Microsoft Virtual PC,
VM/CMS, Parallels Workstation, vThere, Parallels Desktop for Mac, SVISTA,
Trango, Virtual Iron Software gösterilebilir.
5.7 Sanallaştırma Mimarisi
Sanallaştırma uygulanan bir sistemde ilave donanım kullanılmamaktadır.
Sanallaştırma yazılımı vasıtasıyla sanallaştırma katmanı oluşturulmaktadır.
Sanallaştırma katmanı, mevcut donanımı yönetecek ve onu sarmalanmasını
sağlayacak şekilde kaynakları yönetme yetkilerine sahip olur. Mevcut donanımlar
32
oluşturulacak birden fazla VM tarafından ayrı ayrı kullanılırlar. Sanallaştırma
teknolojilerinde kullanılan mimari şekil 5.1’de gösterilmiştir.
Şekil 5.1 : Sanallaştırma teknolojilerinde kullanılan mimari.
5.8 Sanallaştırmanın Temel Bileşenleri
Bir sanallaştırma ortamında bulunan temel bileşenler, fiziksel donanım, VMM, VM,
OS ve uygulamalardır. Fiziksel donanım, klasik bir fiziksel makinenin kullandığı
fiziksel donanımın aynısıdır. Uygulamadaki, sanallaştırılacak sisteme göre fiziksel
makinelerden biraz daha güçlü özelliklerde donanım olacağı öngörülebilir. VMM,
Sanal Makine Monitörleme, sanallaştırma ortamının yazılımsal altyapısıdır. VM,
VMM üzerinde kurulan, fiziksel makinelerle aynı işlevi gören sanal makinelerdir.
OS, işletim sistemi ise VM üzerine kurulmuş olup, fiziksel makinelerdekinden hiçbir
farkı yoktur. Uygulamalar, OS üzerinde koşan uygulamalardır.
33
5.9 Sanallaştırma Platformları
Sanal makine platformları, donanımın sanallaştırılmasını sağlayan temel yazılımdır.
Mevcut tanımlanan bütün donanım parçaları bu yazılımlar sayesinde ortak bir
havuzda toplanır. Kaynakların tahsisi, kullanımı, donanımın kontrolü bu yazılımlar
tarafından sağlanır. Sanallaştırma platformları doğrudan donanımın üzerine ya da
donanım üzerine önce bir işletim sistemi kurulduktan sonra kurulabilir.
5.9.1 Microsoft Hyper-V
İlk versiyonu Microsoft Viridian olan Hyper-V Server, Microsoft firması tarafından
X64 mimariye sahip bilgisayarlar için sanallaştırma platformu olarak geliştirilmiştir.
Windows tabanlı sunucular üzerinde kurulmaktadır [43]. Microsoft
Windows dışındaki işletim sistemlerini de çoklu olarak verimli bir şekilde tek bir
sunucuda işletebilir.
Hypre-V üzerinde, VM’ler kesinti yaşanmadan göç ettirilebilirler. VM’ler için tahisis
edilen depolama birimleri esnek kullanılabilir, ekleme çıkarma yapılabilir. Hyper-
V’ye özel, Hyper-V ağ sanallaştırma yeteneği, VLAN’ların yerini tutmaktadır.
Hyper-V, 32 çekirdek işlemciye kadar sistemi yönetebilir ve üzerinde 1 Terabayt
(Terabyte, TB) depolama birimi tanımlanabilir.
5.9.2 VMware
VMware sunucu sanallaştırma pazarının lideridir. Aynı zamanda masaüstü
seviyesinde sanallaştırmanın da ön sıralarında kendisine yer bulur. İşletim sistemleri
üzerinde çalışan versiyonlarının yanı sıra, ESX ve ESXi adında doğrudan donanım
üzerinde çalışan hipervizör versiyonları da vardır.
5.9.3 Oracle Virtual Box
Önceden Sun Virtual Box olarak bilinen Oracle Virtual Box, Oracle firması
tarafından üretilen işletim sistemi içinde sanal makineler kurulmasına yaran
yazılımdır. Açık kaynak kod kullanıldığı için ücretsiz olarak elde edilebilen yazılım,
kişisel kullanıcıların sıklıkla tercih ettiği yazılımdır. Aynı zamanda ticari ve
kurumsal alanlarda da kullanılabilen yazılım, 32 bit ve 64 bit mimaride
çalışabilmektedir.
34
5.9.4 Citrix Zen
Xen, Ian Pratt isimli yazılımcı önderliğinde Xen Source şirketi tarafında geliştirilen
sanallaştırma yazılımıdır. Cambridge Üniversitesi bünyesinde bir araştırma projesi
içerisinde geliştirilmeye başlanan yazılımın yaygın kullanımına 2003 yılında
başlanmış olup, daha sonra Xen Source isimli şirketi kuracak olan Xen, Ian Pratt
liderliğinde geliştirilmiştir [44].
5.9.5 Red Hat Enterprise Virtualization
Açık kaynaklı ve Linux tabanlı yazılım geliştiren Red Hat şirketi, sanallaştırma
yazılımı olarak ürettiği Red Hat Enterprise Virtualization bireysel kullanıcılar için
toplam sahip olma maliyeti çok düşüktür. Canlı göç, güç yönetimi ve ulaşılabilirlik
yetenekleriyle 32 bit ve 64 bit mimaride çalışabilmektedir.
35
6. SANALLAŞTIRMADA GÜVENLİK
Sistem güvenliğindeki merkezi sorun, riske girmiş, saldırıya uğramış bir sistemden
tehlikeyle alakalı güvenilebilir, gerçekçi, doğru bilgiler almaktır. Bir saldırı
gerçekleştiğinde, saldırganın veri akışını kesmesi ya da verileri değiştirmesi yüksek
ihtimal olduğu için, sistemden alınan veri güvenilir olmaktan çıkmaktadır [8].
Sanallaştırma, altında yatan donanıma sistemin çoklu erişimini sağlamak ya da
cihazlara erişimi kesmek için bir yöntem olarak hizmet eder. Sanallaştırmanın
izolasyon özelliği, doğal olarak güvenlik alanında etkili olarak kullanılmıştır.
Böylece çoklu erişim ve merkezi yönetim yaklaşımlarının yanında, sanallaştırma
güvenlik politikalarını incelemek ve uygulamak için uygun bir mekanizmadır [45].
İzolasyonun uygulanmasının kolaylığı da sanallaştırmayı güvenlik alanında daha
yaygın kullanılır hale getirmiştir. Bu izolasyon bir çeşit soyutlamadır. Bu soyutlama,
VMM tarafından sağlanan yazılımın donanımdan bağımsızlığından kaynaklanır. Bu
bağımsızlık sayesinde bir VM birbirinden farklı donanım gruplarında çalışabileceği
gibi, tek bir donanım grubunda birden fazla VM de oluşturulabilir. Bu tür bir
soyutlama da sanallaştırmaya güvenlik alanında doğasında olan eşsiz fırsatlar verir
[17].
Sanallaştırma sayesinde sistemlerin inceleme, analiz ve soruşturma yetenekleri
artmış, şifrelenmiş anahtarların çözümü hızlanmış, güvenlik algoritmaları oluşturmak
daha basit hale gelmiş, saldırı tespiti de hızlı ve kolay bir hale gelmiştir.
6.1 Sanal Makine Monitörleme (Virtual Machine Monitor - VMM)
Bir işletim sistemi altında ya da birkaç işletim sistemini kapsayacak şekilde üstün
sistem ayrıcalıklarına sahip olan VMM’i, sanal makine teriminin mucitleri G.J.
Popek ve R.P. Goldberg “fiziksel makinenin etkili ve izole edilmiş bir kopyası”
olarak tanımlamaktadır [46]. VMM’in birden çok işletim sistemi ile çalışılmasının
yanında farklı yerel ağlarda da çalışması mümkündür.
36
VMM’in kaynaklar üzerindeki kontrolü, VM’ler üzerindeki her işlemi VMM’in
gözlemlemesini ve işlemleri sonlandırabilmesini sağlar. Böylece VMM her
seviyedeki işlemi görür ve her seviyede sanal makine işlemlerine müdahale edebilir.
VMM ayrıca sistem durumunun resmini çekme (her bir çekilmiş resme “snapshot”
denir) ve geri yükleme yeteneği vardır. Bu sayede her VM’i ayrı ayrı üzerinde
çalıştığı OS’ler ile birlikte kısa sürede resmi çekilmiş sistem durumuna geri
getirebilir. Bir “snapshot”ta, VM çalışır vaziyette ya da kapalı dahi olsa VM’e ait
geçici bellek, sabit bellek, cihaz durumları kaydedilmektedir.
İki farklı VMM tipi vardır: Tip 1 (Sadece Metal, Bare Metal) ve Tip 2 (Hosted,
kurulumlu)
Tip 1 (Sadece metal): Klasik tip olarak adlandırılan bu tip VMM, sisteme birincil
kök sistem olarak kurulmuştur. VMM en yüksek ayrıcalık seviyesinde çalışır ve
herhangi bir VM üzerinde kullanabileceği tam kontrolü vardır.
(a) (b)
Şekil 6.1 : VMM mimarileri
(a) Sadece metal (Tip 1) (b) Kurulumlu (Tip 2)
Tip 2 (Kurulumlu): Daha karmaşık bir yapısı bulunan kurulumlu VMM, bir ana
işletim sisteminin üzerinde veya yanında konumlandırılmıştır. Ana işletim sisteminin
37
sürücülerinin I/O işlemlerinde kullanılmak üzere paylaşabilirler [17]. Tip 1 ve Tip 2
VMM mimarisi Şekil 6.1’de görülmektedir.
Günümüz OS’leri, örneğin Windows, Linux, on milyonlarca satır koddan (Lines Of
Code, LOC) oluşmaktadır. Bu kadar fazla kod, yazılım için kırılganlık meydana
getirir ve güvenlik açıklarına sebep olur. VMM’in güvenli bir şekilde çalışması ve
ortamdan yalıtılabilmesinin ana nedeni LOC sayısının on binlerle ifade
edilebilmesidir [12].
6.2 Sanallaştırma Mimarisi Çeşitleri
Sanallaştırmanın esas aldığı özelliklere göre, verimlilik esaslı, kaynak kontrol esaslı
ve denklik esaslı olmak üzere üç farklı sanallaştırılmış mimari vardır:
6.2.1 Verimlilik esaslı
Verimlilik esaslı VMM durumu, zararsız komutları CPU’ya direk olarak gönderen ve
sistemsel zorunluluklar olmadıkça komutlara müdahale etmeyen bir yapıdadır.
Burada esas olan, VMM’in sadece gerekli durumlarda komutlara müdahale
etmesiyle, müdahale esnasında oluşacak gecikmeleri önlemektir. Bu sayede, sistemin
daha hızlı çalışması sağlanmış ve gereksiz komut tekrarlarından kaçınılarak
CPU’nun etkinliği artırılmıştır.
6.2.2 Kaynak kontrol esaslı
VMM bütün kaynaklar üzerinde tam yetkiyi elinde tutar. VM’ler, VMM’in açık bir
şekilde yetkilendirmesi olmadıkça kaynaklara erişmesi ve kaynaklar üzerinde
değişiklik yapması mümkün değildir. Bu sayede, her türlü komut VMM üzerinden
CPU’ya gidecektir. Bu yöntemde esas olan, sistem kaynaklarının merkeziyetçi bir
yapıda yönetilmesi ile beraber kaynakların dağıtımını gerçekleştirmektir.
6.2.3 Denklik esaslı
Bu yöntemde VMM, fiziksel makineden ayırt edilemez bir şekilde çalışır. Bu hususta
iki istisna vardır. Birincisi, süreçler her zaman VMM tarafından başlatıldığı için
“zamanlama” konusudur. İkincisi, bazı kaynaklar VMM tarafından kullanıldığı için
“kaynak uygunluğu”dur [22].
38
6.3 Sanallaştırmada Güvenlik Önlemleri
Güvenli bir sanal ortam hazırlamak için aşağıdaki hususlara dikkat edilmedir.
Sanallaştırma yazılımı, saldırılardan korunacak yeni bir ayrıcalıklı
katman oluşturmalıdır.
Yönetimsel görevler, hizmet kesintisi olmayacak şekilde sınırları
kesin hatlarla çizilmiş şekilde paylaştırılmalıdır.
VMM ve VM üzerindeki OS ve uygulama yazılımlarının
güncellemeleri yapılmalıdır.
VMM’e erişim sınırlandırılmalıdır.
VM’ler arası trafik, IDS-IPS’ler tarafından izlenmelidir.
Mobil VM’lerin güvenlik politikaları ayarlanmalı ve göç ettiği
durumlarda güvenlik ayarları ile beraber hareket etmesi sağlanmalıdır.
Güvenlik, sistem ve ağ araçları sadece ihtiyaç halinde kurulmalı ve
çalıştırılmalı, harici yazılımlara ayrıcalık verilmemelidir.
Sanallaştırma ortamının güvenliği, fiziksel ortamın güvenliği, ağ güvenliği, VMM
güvenliği ve VM’lerin güvenliğinin bileşkesidir. Herhangi bir güvenlik açığı,
sistemin kılcallarına kadar giden bir yolun kapısıdır. Birbirinden ayrı gözüken bu
parçalar, güvenlik alanında birbirinin koruyucularıdır.
39
7. SALDIRI TESPİT SİSTEMLERİ
Saldırı, bir bilgisayar kaynağının bütünlüğünü, gizliliğini ve ulaşılabilirliğini
tehlikeye atan herhangi bir eylem ya da eylemler dizisi olarak tanımlanabilir [47].
Saldırı tespiti, bir ağda veya sistemde oluşan trafiği ve meydana gelen olayları
sürekli olarak gözlemleyen, analiz eden, bunun sonucunda ağa ya da sisteme giren
paketleri kontrol ederek zararlı olanları bulan işlemdir. IDS’in gözlemlediği sistem,
bir ağ, bir bilgisayar ya da herhangi bir bilgi sistem kaynağı olabilir [48].
Saldırı Tespit Sistemleri (Intrusion Detection Systems – IDS) , güvenlik önlemlerinin
alınmasına rağmen oluşan saldırıları tespit etmek ve rapor etmek amacıyla kullanılan
sistemlerdir [49]. Saldırı Önleme Sistemleri (Intrusion Prevention Systems – IPS) ise
IDS’lerin bir uzantısı olarak görülebilir. IPS, IDS tarafından tespit edilen saldırılara
aktif olarak önlem alarak saldırıların etkisiz hale getirilmesini sağlar. Genelde bu iki
sistem beraber kullanılır ve Saldırı Tespit ve Önleme Sistemleri (Intrusion Detection
and Prevention System - IDPS) olarak adlandırılırlar.
IDS’ler, bilgi sistem altyapısının güvenliği artırmak amacıyla sürekli gelişen
sistemlerdir. Fakat hiçbir zaman kusursuz bir hale gelemeyeceği ön kabulü güvenlik
kavramının doğasında vardır.
7.1 Analiz Edilen Verilerin Kaynağına Göre Sınıflandırma
IDS’lerin analiz yapmaları için veri kaynakları gerekli verileri alması gerekmektedir.
Analiz edilen verilerin birden çok kaynaktan gelmektedir. Analiz edilen veriler,
toplandıkları kaynak şekillerine göre iki farklı şekilde sınıflandırılırlar [50]:
7.1.1 Ağ tabanlı IDS (Network-based IDS, NIDS)
Ağda meydana gelen trafik akışını gözlemlemeye dayalı bir yöntemdir. Genelde
korunacak ağ üzerindeki veri giriş-çıkışının yapıldığı uç noktalarda bulunur.
Yönlendirici ve güvenlik duvarı gibi yerel ağın (Local Area Network, LAN), dış
dünya olan Geniş Alan Ağ (Wide Area Network, WAN) arasında kalan ağın
40
(Demilitarized Zone, DMZ) arkasında konumlandırılır [10]. Konumlandırıldığı uç
noktada trafik akışı içindeki paketlerin içeriği kontrol edilir. Ağ tabanlı IDS’lerin
dezavantajları şunlardır [51]:
Büyük ağlarda, anahtarların kullanılmasından dolayı kör noktalar
oluşabilir, ağ üzerinde izlenmeyen bölümler kalabilir.
Kriptolu verileri çözme yeteneğinin olmayışı, kriptolu paketlerde
paketin bütünü kontrol edilemez.
7.1.2 Sunucu tabanlı IDS (Host-based IDS, HIDS)
Ağ içinden yapılan saldırıları önlemeye yönelik tasarlanan HIDS, yerel denetleme
sistemi olarak çalışmaktadır [51]. Tek bir bilgisayar sistemi ya da sunucu üzerindeki
davranışları tespit edebilir. Genelde kritik bilgi taşıyan ve yüksek derecede önemli
sunucu sistemleri üzerinde yazılım olarak konumlandırılır. Avantajları aşağıda
listelenmiştir:
Ağ trafiğinde yoğunluğa sebep olmadığından hızlıdır.
Bilgisayar üzerindeki OS kaynaklı işlemleri de izleyebilir.
Saldırı tespit uyarısı gerçek zamanlıdır.
Bilgisayara kadar gelen veriler, kriptolu olsalar dahi, kriptosu
çözülerek geleceğinden bütün paketleri inceleyebilir.
Ek donanım gerektirmez.
Dezavantajları:
Bilgisayar sisteminde tutulan kayıt dosyalarının büyüklüğü, analizini
zorlaştırır.
Sadece üzerine kurulu olduğu bilgisayarın güvenliğini sağlayabilir.
Karıştırılmaya, yanlış yönlendirilmeye karşı hassastır.
Sunucu üzerindeki işlemler, ağ bağlantıları, sistem çağrıları, kütük ve kayıtlar gibi
yerel aktiviteleri izlemeye dayalı, sistem aktiviteleri ile ilgili bilgi toplamak için
izlenecek makineye HIDS ajan yazılımı yüklenmiş olmalıdır. Bu ajan yazılımı devre
dışı bırakılabilir, saldırgan tarafından karıştırılabilir. Bu da HIDS’lerin en büyük
zaafıdır. Sanal makineler, bu zaafa karşı çözüm olacak etkin bir mekanizma
41
sağlamıştır [8]. Bu yapıdaki ana fikir, sistemin içindeki VM’leri, sistemin dışından
izlenecek şekilde sarmalamaktır. Saldırı tespit ve karşılık verme mekanizmaları
VM’in dışında, saldırganların ulaşamayacağı şekilde konumlandırılmıştır.
7.2 Toplanan Verilerin Analiz Tekniklerine Göre Sınıflandırma
IDS üzerinde çeşitli kaynaklardan toplanan veriler analiz edilirler. IDS’ler üzerinde
toplanan veriler analiz tekniklerine göre iki farklı şekilde sınıflandırılırlar:
7.2.1 İmza tabanlı IDS
Toplanan veri, daha önceden bilinen saldırı paternlerine (imza) göre karşılaştırılır.
Saldırının özellikleri daha önceden veritabanındaki bilinen saldırı özellikleri ile
kıyaslandığından yapılandırılması edilmesi en basit yöntemdir. Hata oranı çok
düşüktür. Fakat yeni saldırı türleri tespit edilemez. Örneğin, şifre kırma saldırıları
için, belli bir zaman dilimi içinde belli bir sayıda şifre deneme girişimi olmuşsa bu
saldırı olarak değerlendirilebilir [52]. Sistem, yeni saldırı tiplerinin sisteme
tanıtılabilmesi üzerine geliştirilmektedir.
7.2.2 Anomali tabanlı IDS
Toplanan veri, daha önceden aynı sistemden toplanan veriler ile karşılaştırılır ve veri
akışının normal olup olmadığı tespit edilir. Sistem kaynaklarının performans
değerleri de takip edilir. Anomali tabanlı IDS’lerde hayatın olağan akışı içindeki
olaylara ait nitelikler ile dikkat çekici olaylara ait nitelikler karşılaştırılmaktadır.
Ayrıca CPU kullanımı, sisteme giriş çıkış zamanları, RAM kullanım oranı gibi
değerlerde ani değişiklikler saldırı olarak tanımlanabilir [53]. Kendi kendine öğrenen
bir yapıdadır. Yeni saldırı tiplerini dahi tespit edilebilmesine rağmen hata oranı
düşük değildir. Özellikle yanlış-pozitif (false-pozitive) yanlış negatif (false-negative)
değerleri imza tabanlı IDS’lere karşı oldukça yüksektir. Anormallik tespitinde,
istatistiksel anormallik tespiti, veri madenciliği ve yapay zeka tekniklerinden
faydalanılır [54].
IDS’ler ağı izlemek için ideal sistemler olmasına rağmen, gelecek saldırılara karşı
reaksiyon gösteremezler. IPS’ler ise gelen saldırılara hemen reaksiyon gösterip tedbir
alırlar, fakat ağın içinden gelen saldırılara karşı koyma yetenekleri yoktur [55]. Bu
42
soruna çözüm bulmaya yönelik yapılan araştırmalarda, çözümün önemli bir parçası
olarak sanallaştırma teknolojileri düşünülmüştür.
7.3 Bal Çanakları
Bal çanakları, saldırıları tespit etmek, analiz etmek ve savunmayı güçlendirmek
maksadıyla sistem yöneticileri için vazgeçilmez bir araç haline gelmiştir [3]. Son
zamanlarda birçok proje bal çanakları kullanmak için VMM altyapısı kurmaktadır
[56,57,58].
7.4 Saldırı Tespit Sistemlerinin Gelişimi
Saldırı tespit sistemleri fikri bilişim güvenliğinin ilk aşamalarında, saldırı kavramının
ortaya çıkmasıyla belirmiştir. Yapılan saldırıları otomatik olarak tespit edecek
mekanizma ihtiyacı sistem güvenliği için paha biçilmez bir eleman olacaktır. Saldırı
tespiti ilk aşamada çok başarılı sonuçlar elde edemese de, yeni bir teknoloji ve
bilişim altyapısında köklü değişiklikler olmadığı sürece geliştirilerek kullanılması
zorunlu olan bir sistem olarak kalmaya devam etmiştir.
Günümüzde çeşitli algoritmalar kullanarak gelişen sistemler, yüksek sayıda saldırıyı
engelleyip saldırganları yavaşlatarak bilişim güvenliğinin yapı taşlarından biri olsa
da, hiçbir zaman sorunsuz çalışmamaktadırlar.
7.5 Saldırı Tespit Sistemlerinin İş Akış Süreçleri
Saldırı tespit sistemleri, ağa gelen paketlerin saldırı kontrollerini yaparken belli bir iş
akışı uygulamaktadırlar. Olayların görüntülenmesi aşamasında öncelikle analiz
yapacağı veriler toplanır ve doğrulama verileri oluşturulur. Oluşturulan doğrulama
verilerinden analiz esnasında yararlanılır. Analiz esnasında aktif veri ile doğrulama
verileri karşılaştırılır. Karşılaştırma sonucunda saldırı tespit edilmezse veri akışı
devam eder. Saldırı tespit edilmesi durumunda alarm üretilir. Üretilen alarm çeşitli
yöntemlerle sistem yöneticisine gönderilir. Sistem tarafından saldırıya otomatik
olarak aktif cevap verilir ya da sistem yöneticisinden saldırıya cevap vermesi
beklenebilir. Sistem yöneticisini olaylara daha etkili cevap vermek suretiyle otomatik
aktif cevap verildiğinde dahi sisteme müdahale edebilir. Saldırı tespit sistemlerinin iş
akış süreçleri Şekil 7.1’de gösterilmiştir.
43
Şekil 7.1 : Saldırı Tespit Sistemlerinin iş akış süreçleri.
.
44
45
8. TEST VE DEĞERLENDİRME
8.1 Test Senaryoları
Sanallaştırma teknolojilerinin IDS ve IPS’lerin performansı üzerine etkilerini
araştırmak için, birinci senaryoda sanallaştırma teknolojileri uygulanmamış, klasik
olarak fiziksel donanımlardan oluşan bir ağ ile sanallaştırma teknolojileri uygulanmış
bir ağ karşılaştırılacaktır. Oluşturulan iki ağ da tamamen test amaçlı oluşturulmuştur.
Test amaçlı olmaları sebebiyle üzerinde kısıtlı sayıda gerçek kullanıcı işlem
yapmaktadır. İkinci senaryoda ise, birinci senaryoda kullanılan sanallaştırma
teknolojileri uygulanmış bir ağ ile yine sanallaştırma teknolojileri kullanılarak
oluşturulmuş, üzerinde yüzlerce kullanıcı bulunan ve aktif kullanıcıların yoğun veri
iletimi olan bir ağ, iki farklı IDS türü üzerinden karşılaştırılacaktır.
Birinci senaryoda ulaşılmak istenen amaç, IDPS’lerin korumakla görevli olduğu ağ
ile iletişimi ve ağ içinde kullanılan sanallaştırma teknolojileri ile beraber hipervizör
katmanının IDPS’lerin CPU ve RAM performansına etkilerini gözlemlemektir. İkinci
senaryoda ulaşılmak istenen amaç ise, yüksek miktarda ve gerçek veri kullanılan
sanallaştırma teknolojileri uygulanmış ağ üzerinde, hipervizör ile iletişim halinde
bulunan yoğun verinin IDPS analiz ve tespitlerine yapacağı etkilerin gözlenmesi ve
hipervizör katmanının özellikle veri analizinde yapacağı etkilerin belirlenmesidir.
Gerçek kullanıcıların oluşturacağı veri trafiği, IDPS’lerin etkin analizler yapmasına
imkan verecek ve daha doğru sonuçlar üretmesini sağlayabilecektir. Böylece daha
doğru ve hızlı karşılaştırmalar sonucu hata oranlarının düşmesi ve CPU ve RAM
performanslarının artması değerlendirilmektedir. İkinci senaryoda iki farklı IDS
kullanılmış ve aktif olarak kullanılan ağ üzerinde IDS farklılıklarının CPU ve RAM
performansları üzerindeki etkileri de gözlenmiştir.
46
8.2 Kullanılan Bileşenler
8.2.1 Birinci senaryoda kullanılan donanım bileşenleri
Birinci senaryoda, oluşturulan iki ağın donanım kapasitelerinin aynı olmasına dikkat
edilmiştir. Sanallaştırılmış sunucuların, donanım özellikleri gelişmiş, donanım
kapasiteleri çok yüksek tek bir fiziksel makine üzerine kurulacağından dolayı,
sanallaştırılmamış sunucuların fiziksel donanım olarak sanallaştırılmış sunucular ile
birebir aynı olma ihtimali yoktur. Her iki ağda bulunan sunucular arasında denklik
sağlanması maksadıyla her iki ağdaki sunucuların CPU ve RAM değerleri aynı
olacak şekilde yapılandırılmıştır.
Birinci senaryoda kullanılan sanallaştırma uygulanmadan yapılandırılmış ağın
donanım özellikleri Çizelge 8.1’de gösterilmiştir.
Çizelge 8.1 : Birinci senaryoda kullanılan sanallaştırma uygulanmadan yapılandırılmış ağın donanım özellikleri
Donanım özellikleri
Donanım kullanıldığı birim Donanım değeri Açıklamalar
Sunucu 3 GB RAM 2.40 Ghz CPU 5 adet sunucu kullanılmıştır.
Bant genişliği 100 Mbit
IDS 3 GB RAM 2.40 Ghz CPU
IDS'in üzerine kurulu olduğu bilgisayarın özellikleri diğer
sunucular ile özdeştir.
47
Birinci senaryoda kullanılan sanallaştırma uygulanarak yapılandırılmış ağın donanım
özellikleri Çizelge 8.2’de gösterilmiştir.
Çizelge 8.2 : Birinci senaryoda kullanılan sanallaştırma uygulanarak yapılandırılmış
ağın donanım özellikleri
Donanım özellikleri
Donanım kullanıldığı birim Donanım değeri Açıklamalar
Ana sunucu 32 GB RAM 2.40 Ghz CPU
(8 çekirdek) Bir adet fiziksel sunucu
mevcuttur.
Sanal sunucular 3 GB RAM 2.40 Ghz CPU Bir adet fiziksel sunucu üzerinde
5 adet sanal sunucu kullanılmıştır.
Bant genişliği 100 Mbit
IDS 3 GB RAM 2.40 Ghz CPU
IDS'in üzerine kurulu olduğu bilgisayarın özellikleri diğer
sunucular ile özdeştir.
Her iki ağ içerisinde ikişer adet Domain Controller (DC) sunucu, birer adet dosya
sunucusu, birer adet e-posta sunucusu ve birer adet web sunucusu bulunmaktadır.
Fiziksel ağ ve sanal ağ mimarileri şekil 8.1 ve 8.2’de görülmektedir.
48
Şekil 8.1 : Birinci senaryoda kullanılan fiziksel ağ mimarisi.
49
Şekil 8.2 : Birinci ve ikinci senaryoda kullanılan sanal ağ mimarisi.
50
8.2.2 Birinci senaryoda kullanılan yazılım bileşenleri
8.2.2.1 Windows 2008 R2
5 adet sunucu üzerinde Windows 2008 R2 işletim sistemi bulunmaktadır. Her bir
sunucu rolü için işletim sistemi üzerinde tanımlanmış roller kullanılmış ve ağ
konfigürasyonları yapılmıştır.
8.2.2.2 Snort
Saldırı Önleme ve Tespit sistemi için açık kaynak koda sahip ve herhangi özel
donanıma ihtiyacı olmayan Snort 2.9.6.1 versiyonu seçilmiş ve gerekli ağ
konfigürasyonları yapılmıştır. Snort 2.9.6.1 IDS, 3 GB RAM ve 2.40 Ghz işlemciye
sahip sunucu bilgisayar üzerinde Ubuntu işletim sistemi üzerine kurulmuştur.
8.2.2.3 VMware ESXi
Sanallaştırma platformu olarak, ticari alanda en çok kullanılan VMware ESXi
sürümü kullanılmıştır. Test ortamında kullanılan mimaride, sanallaştırma platformu
sadece metal (bare metal) yöntemiyle donanımın hemen üzerine kurulmuş olup,
donanım ile yazılım arasında işletim sistemi bulunmamaktadır.
8.2.2.4 Ubuntu
Snort IDS kurulumu, komut sistemi gücüyle Snort’un en verimli çalıştığı Linux
tabanlı işletim sistemleri arasından Ubuntu tercih edilerek kurulmuştur.
8.2.2.5 Web Sunucu
Web sunucu olarak, Windows 2008 R2 üzerinde bulunan IIS (Internet Information
Service) 7 sürümü kullanılmıştır.
8.2.2.6 SQL
SQL (Structured Query Language) Snort kütük bilgilerini saklamak, loglarını tutmak
için kullanılmıştır. MySQL 5.1 sürümü, açık kaynak kod imkanı sağladığı için tercih
edilmiştir.
51
8.2.2.7 BackTrack
Saldırı ortamını sağlamak maksadıyla BackTrack 5 R3 sürümü kullanılmıştır.
BackTrack 5 R3, Ubuntu tabanında oluşturulmuş bir Linux dağıtımıdır. BackTrack 5
R3 2.40 Ghz işlemci ve 3 GB RAM özelliklerine sahip sunucu üzerine kurulmuştur.
8.2.3 İkinci senaryoda kullanılan donanım bileşenleri
İkinci senaryoda, oluşturulan iki ağın donanım kapasitelerinin aynı değildir. Aktif
olarak kullanılan sanallaştırılmış sunucuların donanım özellikleri daha gelişmiştir.
Aktif ağ sunucuları üzerinde test ağına göre çok daha fazla sunumcu bulunmaktadır.
İkinci senaryoda kullanılan sanallaştırma teknolojileri uygulanmış aktif ağın
donanım özellikleri Çizelge 8.3’te gösterilmiştir.
Çizelge 8.3 : İkinci senaryoda kullanılan sanallaştırma teknolojileri uygulanmış aktif
ağın donanım özellikleri
Donanım özellikleri
Donanım kullanıldığı birim Donanım değeri Açıklamalar
Ana sunucu 64 GB RAM 2.40 Ghz CPU (32 çekirdek)
Bir adet fiziksel sunucu mevcuttur.
Sanal sunucular 2-4 GB RAM 2.40 Ghz CPU
Bir adet fiziksel sunucu üzerinde sistem ihtiyacı kadar sanal sunucu
kullanılmıştır.
Bant genişliği 1 Gbit
IDS (Snort) 3 GB RAM 2.40 Ghz CPU
IDS'in üzerine kurulu olduğu bilgisayarın özellikleri diğer
sunucular ile özdeştir.
IDS (ChechPoint) 4 GB RAM 2.66 Ghz CPU
CheckPoint IDS, donanım ve yazılım bütünleşik şekilde
kullanılmaktadır.
52
İkinci senaryoda kullanılan sanallaştırma uygulanarak yapılandırılmış test ağının
donanım özellikleri birinci senaryodaki ile aynıdır.
Aktif olarak kullanılan ağ üzerinde başta iki adet Domain Controller (DC), Log
toplama uygulama sunumcusu, bir adet dosya sunucusu, bir adet e-posta sunucusu,
bir adet web sunucusu olmak üzere 10’dan fazla uygulama sunucusu bulunmaktadır.
İkinci senaryoda kullanılan sanallaştırma teknolojileri uygulanmış test ağı mimarisi
Şekil 8.2’de, gerçek aktif ağ mimarisi Şekil 8.3’te gösterilmiştir.
53
Şekil 8.3 : İkinci senaryoda kullanılan sanallaştırma teknolojileri uygulanmış ağ mimarisi.
54
8.2.4 İkinci senaryoda kullanılan yazılım bileşenleri
İkinci senaryoda kullanılan VIR Ağının yazılım bileşenleri, birinci senaryoda olduğu
gibidir.
İkinci senaryoda kullanılan AKF Ağında, çoğunlukla VIR Ağ’ında kullanılanlara
benzer yazılımlar kullanılsa da, test ağından farklı yazılımlar da kullanılmaktadır.
AKF ağında VMware ESXi sanallaştırma platformu kullanılmıştır. AKF ağında
bulunan sunucularda genellikle Windows 2008 R2 işletim sistemi kullanılsa da, bazı
sunucularda uygulama gereksinimlerinden kaynaklanan Linux tabanlı CentOS
işletim sistemi bulunmaktadır. Kullanılan Snort IDS yazılımı değişmemiş, 2.9.6.1
sürümü kullanılmıştır. Snort yerine kullanılmış olan CheckPoint IDS üzerinden kendi
işletim sistemi ve özel yazılımını barındırmaktadır. CheckPoint IDS sürümü R75’tir.
Web sunucu olarak, Windows 2008 R2 üzerinde bulunan IIS 7 sürümü kullanılmıştır.
Veritabanı, Snort üzerinde MySQL 5.1 kullanılmakla beraber, ağ üzerinde Microsoft
SQL Server 4.0 çeşitli uygulamalar tarafından kullanılmaktadır. Saldırı ortamını
sağlamak maksadıyla BackTrack 5 R3 sürümü kullanılmaya devam edilmiştir.
8.3 Uygulama
Uygulama safhasına geçmek için gerekli kurulum ve konfigürasyonlar yapıldıktan
sonra öncelikle sanallaştırılmamış ağ üzerine saldırı simülasyonu başlatılmıştır.
Varsayılan ağ geçidi Snort IDS olarak konumlandırılmış ve konfigürasyonu
yapılmıştır. Ağ üzerine gelen 4 farklı saldırı IDS tarafından tespit edilmiştir. Saldırı
esnasında çalışmakta olan IDS’in kurulu olduğu bilgisayarın RAM ve CPU değerleri
takip edilmiş olup sonuçları kaydedilmiştir. Her bir saldırı, IDS’in CPU ve RAM
performans değerlerinin istikrarlı oluşlarına göre 20 ile 30 arasında değişen sayılarda
gerçekleştirilmiş olup, ortalamaları alınarak kaydedilmiştir.
Testler, ping atak (ping flooding), şifre kırma saldırısı, ağ keşif saldırısı ve İnternet
Servis Sağlayıcı (Internet Service Provider, ISP) saldırıları (smurf attack) olmak
üzere 4 farklı saldırı çeşidine göre uygulanmış ve değerlendirilmiştir.
8.3.1 Senaryo 1
Birinci senaryoda, sanallaştırma teknolojileri uygulanmamış ağ (PHY Ağ) ile
sanallaştırma teknolojileri uygulanmış ağ (VIR Ağ) 4 farklı saldırıya maruz
55
bırakılmış ve CPU ve RAM performans değerleri elde edilmiştir. Ağ dışında
bulunan, saldırı uygulamak amacıyla yapılandırılmış olan BackTrack 5 R3 kurulu
bilgisayardan saldırılar gerçekleştirilmiştir. Sırasıyla oluşturulan saldırılar ve Snort
IDS üzerinde meydana gelen CPU ve RAM değerleri sunulmuştur.
8.3.1.1 Ping atak (Ping flooding)
Çok sayıda ICMP (Internet Control Message Protocol) Echo Request (ping) paketleri
gönderilerek hedef bilgisayarın bu paketlere cevap vermeye çalışması ve bütün
kaynaklarını bu işleme tahsis etmesi sonucu oluşan basit bir hizmet reddi saldırısı
olan ping atak, BackTrack üzerinde bulunan “hping3” komutu kullanılarak
gerçekleştirilmiştir. “hping 3” komutu 250,000, 1,000,000 ve 2,500,000 adet olmak
üzere 3 farklı paket sayısı ile uygulanmıştır.
250,000 paket olarak uygulanan saldırıda PHY Ağ ve VIR Ağ IDS’lerinde elde
edilen CPU ve RAM performans değerleri Çizelge 8.4’de gösterilmektedir.
Çizelge 8.4 : 250,000 paket olarak uygulanan saldırıda elde edilen CPU ve RAM performans değerleri.
Paket Sayısı : 250,000
CPU Kullanımı (%)
RAM Kullanımı (%)
PHY Ağ 34.12 68.45
VIR Ağ 31.14 55.80
1,000,000 paket olarak uygulanan saldırıda PHY Ağ ve VIR Ağ IDS’lerinde elde
edilen CPU ve RAM performans değerleri Çizelge 8.5’te gösterilmektedir.
56
Çizelge 8.5 : 1,000,000 paket olarak uygulanan saldırıda elde edilen CPU ve RAM performans değerleri.
Paket Sayısı : 1,000,000
CPU Kullanımı (%)
RAM Kullanımı (%)
PHY Ağ 34.86 75.20
VIR Ağ 31.78 59.62
2,500,000 paket olarak uygulanan saldırıda PHY Ağ ve VIR Ağ IDS’lerinde elde
edilen CPU ve RAM performans değerleri Çizelge 8.6’da gösterilmektedir.
Çizelge 8.6 : 2,500,000 paket olarak uygulanan saldırıda elde edilen CPU ve RAM performans değerleri.
Paket Sayısı : 2,500,000
CPU Kullanımı (%)
RAM Kullanımı (%)
PHY Ağ 35.25 91.08
VIR Ağ 32.86 88.96
8.3.1.2 Şifre kırma saldırısı
Ağ üzerinde, genellikle ağ kaynaklarına ulaşmaya yetkili yönetici şifrelerini elde
etmeyi amaçlayan, mümkün olan bütün ihtimallerin denendiği kaba kuvvet yöntemi,
kullanılma ihtimali daha yüksek olan şifre tahminlerinin listelendiği sözlük atağı
yöntemi gibi yöntemlerle gerçekleştirilen şifre kırma saldırısı, BackTrack üzerinde
bulunan şifre atak çeşitlerinden “online atak” kategorisinden “ncrack” komutu
kullanılarak gerçekleştirilmiştir.
Şifre kırma saldırısı sonucu elde edilen CPU ve RAM performans değerleri Çizelge
8.7’de gösterilmektedir.
57
Çizelge 8.7 : Şifre kırma saldırısı sonucu elde edilen CPU ve RAM performans değerleri.
Şifre Saldırısı
CPU Kullanımı (%)
RAM Kullanımı (%)
PHY Ağ 28.62 40.28
VIR Ağ 29.02 39.64
8.3.1.3 Ağ keşif saldırısı
Yapılması planlanan esas saldırılardan önce, hedef ağ hakkında bilgi elde etmek
amacıyla ICMP mesajlarının içeriğindeki belirli alanların değiştirilmesi suretiyle
kullanılan ağ keşif saldırısı, BackTrack üzerinde bulunan “ağ tarayıcı”
kategorisinden “nmap” komutu kullanılarak gerçekleştirilmiştir.
Ağ keşif saldırısı sonucu elde edilen CPU ve RAM performans değerleri Çizelge
8.8’de gösterilmektedir.
Çizelge 8.8 : Ağ keşif saldırısı sonucu elde edilen CPU ve RAM performans değerleri.
Ağ Keşif Saldırı
CPU Kullanımı
(%) RAM Kullanımı
(%)
PHY Ağ 32.39 39.64
VIR Ağ 25.16 31.82
8.3.1.4 İnternet servis sağlayıcı saldırısı
Saldırganın, hedef İnternet Servis Sağlayıcısı (Internet Service Provider - ISP)’sını
gereksiz paketlerle meşgul ederek bant genişliğini tüketmesi sonucu gerçek
kullanıcıların web servisini kullanamadığı internet servis sağlayıcı saldırısı,
BackTrack üzerinde bulunan “smurf6” komutu kullanılarak gerçekleştirilmiştir.
58
ISP saldırısı sonucu elde edilen CPU ve RAM performans değerleri Çizelge 8.9’da
gösterilmektedir.
Çizelge 8.9 : ISP saldırısı sonucu elde edilen CPU ve RAM performans değerleri.
ISP Saldırısı (Smurf Attack)
CPU Kullanımı
(%) RAM Kullanımı
(%)
PHY Ağ 36.73 44.96
VIR Ağ 32.57 36.27
8.3.2 Senaryo 2
İkinci senaryoda, sanallaştırma teknolojileri uygulanmış ağ (VIR Ağ) ile yine
sanallaştırma teknolojileri kullanılmış fakat aktif olarak kullanılan ve yüzlerce
kullanıcısı bulunan bir sanal ağ (AKF Ağ) saldırılara maruz kalmış, CPU ve RAM
performans değerleri elde edilmiştir. Senaryo 1’de uygulanan aynı saldırı yöntemleri
kullanıldığından VIR Ağ tekrar saldırılara maruz bırakılmamış, Senaryo 1’de elde
edilen CPU ve RAM değerleri kullanılmıştır. AKF Ağ’ına yönelen saldırılarda ise
Senaryo 1 ile aynı esaslar uygulanmış ve IDS’lerin CPU ve RAM performans
değerleri elde edilmiştir. Senaryo 2’de Snort IDS ile yapılan testlerin yanında, Snort
IDS yerine geçecek şekilde Checkpoint IDS konumlandırılarak performans değerleri
elde edilmiştir. Snort IDS üzerine kurulu olduğu bilgisayar özellikleri (3 GB RAM,
2.40 Ghz CPU) aynı kalacak şekilde, Checkpoint yazılım ve donanım beraber
kullanılan () güvenlik cihazı sisteme dahil edilmiş ve CPU ve RAM performans
değerleri kaydedilmiştir.
8.3.2.1 Ping atak (Ping flooding)
Hedef bilgisayarın kaynaklarını kullandırarak oluşan basit bir hizmet reddi saldırısı
olan ping atak, BackTrack üzerinde bulunan “hping3” komutu kullanılarak
gerçekleştirilmiştir. “hping 3” komutu 250,000, 1,000,000 ve 2,500,000 adet olmak
üzere 3 farklı paket sayısı ile uygulanmıştır.
59
250,000 paket olarak uygulanan saldırıda AKF Ağ ve VIR Ağ IDS’lerinde elde
edilen CPU ve RAM performans değerleri Çizelge 8.10’da gösterilmektedir.
Çizelge 8.10 : 250,000 paket olarak uygulanan Ping saldırısı sonucunda elde edilen CPU ve RAM performans değerleri.
Paket Sayısı: 250,000 paket
CPU Kullanımı (%)
RAM Kullanımı (%)
AKF Ağ 28.85 49.06
VIR Ağ 31.14 55.80
1,000,000 paket olarak uygulanan saldırıda AFK Ağ ve VIR Ağ IDS’lerinde elde
edilen CPU ve RAM performans değerleri Çizelge 8.11’de gösterilmektedir.
Çizelge 8.11 : 1,000,000 paket olarak uygulanan Ping saldırısı sonucunda elde edilen CPU ve RAM performans değerleri.
Paket Sayısı: 1,000,000 paket
CPU Kullanımı
(%) RAM Kullanımı
(%)
AKF Ağ 29.63 51.29
VIR Ağ 31.78 59.62
2,500,000 paket olarak uygulanan saldırıda AKF Ağ ve VIR Ağ IDS’lerinde elde
edilen CPU ve RAM performans değerleri Çizelge 8.12’de gösterilmektedir.
60
Çizelge 8.12 : 2,500,000 paket olarak uygulanan Ping saldırısı sonucunda elde edilen CPU ve RAM performans değerleri.
Paket Sayısı: 2,500,000 paket
CPU Kullanımı
(%) RAM Kullanımı
(%)
AKF Ağ 30.83 84.49
VIR Ağ 32.86 88.96
8.3.2.2 Şifre kırma saldırısı
Ağ üzerinde, genellikle yönetici şifrelerini elde etmeyi amaçlayan şifre kırma
saldırısı, BackTrack üzerinde bulunan şifre atak çeşitlerinden “online atak”
kategorisinden “ncrack” komutu kullanılarak gerçekleştirilmiştir.
Şifre saldırısı sonucu elde edilen CPU ve RAM performans değerleri Çizelge 8.13’de
gösterilmektedir.
Çizelge 8.13 : Şifre saldırısı sonucu elde edilen CPU ve RAM performans değerleri.
Şifre Saldırısı
CPU Kullanımı (%)
RAM Kullanımı (%)
AKF Ağ 29.46 40.19
VIR Ağ 29.02 39.64
8.3.2.3 Ağ keşif saldırısı
Hedef ağ hakkında bilgi elde etmek amacıyla ICMP kullanılan ağ keşif saldırısı,
BackTrack üzerinde bulunan “ağ tarayıcı” kategorisinden “nmap” komutu
kullanılarak gerçekleştirilmiştir.
Ağ keşif saldırısı sonucu elde edilen CPU ve RAM performans değerleri Çizelge
8.14’te gösterilmektedir.
61
Çizelge 8.14 : Ağ keşif saldırısı sonucu elde edilen performans değerleri
Ağ Keşif Saldırı
CPU Kullanımı
(%) RAM Kullanımı
(%)
AKF Ağ 19.85 30.21
VIR Ağ 25.16 31.82
8.3.2.4 İnternet Servis Sağlayıcı Saldırısı
Saldırganın hedef ağın bant genişliğini tüketmesi sonucu gerçek kullanıcıların web
servisini kullanamamasını amaçlayan internet servis sağlayıcı saldırısı, BackTrack
üzerinde bulunan “smurf6” komutu kullanılarak gerçekleştirilmiştir.
ISP saldırısı sonucu elde edilen CPU ve RAM performans değerleri Çizelge 8.15’te
gösterilmektedir.
Çizelge 8.15 : ISP saldırısı sonucu elde edilen CPU ve RAM performans değerleri.
ISP Saldırısı (Smurf Attack)
CPU Kullanımı
(%) RAM Kullanımı
(%)
AKF Ağ 31.37 38.02
VIR Ağ 32.57 36.27
8.4 Değerlendirme
8.4.1 Senaryo 1
Uygulama esnasında ping atak (ping flooding), şifre kırma saldırısı, ağ keşif saldırısı
ve internet servis sağlayıcı saldırıları (smurf attack) olmak üzere 4 farklı saldırı
çeşidine göre saldırılar gerçekleştirilmiş ve performans değerleri elde edilmiştir.
Çizelge 8.16 ve Çizelge 8.17’de CPU ve RAMperformans değerleri görülmektedir.
62
Çizelge 8.16 : Saldırılar sonucunda elde edilen CPU değerleri karşılaştırılması.
CPU Kullanımı (%)
250,000 paket
1,000,000 paket
2,500,000 paket Şifre Saldırısı Ağ Keşif ISP (Smurf)
PHY Ağ 34.12 34.86 35.25 28.62 32.39 36.73
VIR Ağ 31.14 31.78 32.86 29.02 25.16 32.57
Performans Değişimleri + %9 + %9 + %7 - %1 + %22 + %11
Çizelge 8.17 : Saldırılar sonucunda elde edilen RAM değerleri karşılaştırılması.
RAM Kullanımı (%)
250,000 paket
1,000,000 paket
2,500,000 paket Şifre Saldırısı Ağ Keşif ISP (Smurf)
PHY Ağ 68.45 75.20 91.08 40.28 39.64 44.96
VIR Ağ 55.80 59.62 88.96 39.64 31.82 36.27
Performans Değişimleri + %18 + %21 + %2 + %2 + %21 + %19
Uygulama sonucu elde edilen değerlendirmelere göre, sanallaştırma teknolojileri
uygulanmış bir ağın IDS’inin CPU ve RAM performansı, aynı donanım özelliklerine
sahip, sanallaştırma teknolojileri uygulanmamış ağın IDS performansından daha iyi
durumdadır.
“ping atak” saldırıları esnasında VIR Ağ’ında PHY Ağ’ına göre CPU kullanımında
250.000 ve 1.000.000 paket saldırılarında yaklaşık %9’luk bir azalma, 2.500.000
paket saldırısında yaklaşık %7’lik bir azalma kaydedilmiştir. CPU performansı her
üç farklı paket saldırısında da VIR Ağ’ı lehine ve birbirine yakın olarak %9
seviyesinde çıkmıştır.
Aynı “ping atak” saldırılarında, VIR Ağ’ında PHY Ağ’ına göre RAM kullanımında
250.000 paket saldırısında yaklaşık %18’lik bir azalma, 1.000.000 paket saldırısında
63
yaklaşık %20’lik azalma, 2.500.000 paket saldırısında ise yaklaşık %2’lik bir azalma
kaydedilmiştir.250.000 ve 1.000.000 paket saldırılarındaki RAM performansı VIR
Ağ’ı lehine ve birbirine yakın olarak %20 seviyesinde çıkmıştır. 2.500.000 paket
saldırısında ise RAM kullanım oranı VIR Ağ’ı lehine, bu sefer %2 olarak
kaydedilmiştir. Performans kazanımındaki bu azalış, RAM seviyesinin her iki ağda
da son safhaya gelmesinin olduğu değerlendirilmektedir.
“şifre kırma” saldırıları esnasında VIR Ağ’ında ve PHY Ağ’ında kayda değer bir
CPU ve RAM performans değişimi görülmemiştir. Bunun sebebi, şifre kırmak için
gönderilen saldırı paketlerinin ağın içerisine girerek sunuculara ulaşması ve ağı
sanallaştırılmış olmasından bağımsız olarak sunucuların kullanıcı adı ve şifre
bilgilerinin girilmiş olduğu değerlendirilmektedir. IDS üzerinden sunuculara
yönlendirilen kullanıcı adı ve şifre taşıyan paketler belli bir imza ile olumlu olarak
eşleştirildiği takdirde, örneğin belli sayıda yanlış şifre girilmesi durumunda, saldırı
alarmı üretilecek ve IDS donanım çalışmaya başlayacaktır. Bu durumda ağın
sanallaştırılmış olması ya da sanallaştırma teknolojilerinin kullanılmamış olmasının
IDS performanslarına etki etmediği değerlendirilmektedir.
“ağ keşif” saldırıları esnasında VIR Ağ’ında PHY Ağ’ına göre CPU kullanımında
yaklaşık %22’lik bir azalma kaydedilmiştir. Bu saldırı tipinde elde edilen değerler
diğer bütün saldırı tiplerindeki CPU kullanım avantajının VIR Ağ’ı lehine en yüksek
olduğu değerlerdir. %22’lik CPU kullanım kazanımı, diğer yüksek kazanıma sahip
“ISP - smurf” saldırılarındaki kazanımın yaklaşık iki katıdır. “ağ keşif” saldırılarının
doğasında, saldırı paketlerinin ağın içerisine girip, her bir sunucu ve sistemden
ayrıntılı bilgiler elde etmesi vardır. Bir sunucuya, donanım bilgilerini elde etmek için
çok fazla sayıda paket gönderilmelidir. Bunun yanı sıra, sunucunun yazılım
özelliklerine ve çeşidine göre işletim sistemi, veritabanı, güvenlik yazılımları gibi
yazılım keşfini yapabilmek için çok fazla sayıda paket alışverişi yapılmaktadır. Bu
paketlere gönderilen cevaplara göre, paketleri yeni keşif paketleri izlemekte ve bir
nevi keşif paketi zinciri kurulmaktadır. Her yeni cevap, yeni keşif paketlerinin
gönderilmesine sebep olmaktadır Bu paket alışverişlerinde sanallaştırma ana katmanı
olan “hipervizör”ün her türlü paket iletimine hakim olduğu yapı önem
kazanmaktadır. Ağ keşfine yönelik saldırıların tespiti sanallaştırma teknolojileri
kullanılmış ağ üzerinde daha başarılı olmakta ve ardı ardına gönderilen keşif
paketleri zincirinin kırılmasını sağlamaktadır. Bu sayede, daha az keşif paketini
64
karşılayan IDS’in performans değerlerinin önemli ölçüde kazanım gerçekleştirdiği
değerlendirilmektedir.
“ağ keşif” saldırılarındaki RAM kullanımında ise yaklaşık %21’lik bir azalma
kaydedilmiştir. Daha az keşif paketi üretilmesini sağlayan sanallaştırma teknolojileri
kullanılmış ağ yapısında, RAM kullanım oranı, CPU kullanım oranıyla hemen
hemen aynı seviyede kazanım gerçekleştirilmiştir. Her ne kadar aynı saldırıya maruz
kalsa da, ağ keşfi esnasında gerçekleştirilen ağ ile saldırgan arasındaki paket
alışverişi farklı yönlerde ve farklı sayılarda cereyan etmektedir. Daha az paketle
keşfe maruz kalan VIR Ağı’ndaki IDS RAM kullanım oranı, paket sayısına göre
göreceli olarak azaldığı ve CPU kullanım kazanımlarıyla yakın kazanımlarda
bulunduğu değerlendirilmektedir.
“ISP - smurf” saldırıları esnasında VIR Ağ’ında PHY Ağ’ına göre CPU kullanımında
yaklaşık %11’lik bir azalma kaydedilmiştir. ISP saldırılarının web sunucuya
yönlendirildiği göz önünde bulundurulduğunda, web sunucusunun sanallaştırılmış bir
sunucu üzerinde bulunmasının gelen saldırı paketlerinin daha hızlı belirlenebilmesini
ve IDS’e analiz için gönderilen kütük (log) bilgilerinin kapsamlı olmasını
sağlayacaktır. Log bilgilerinin hipervizör tarafından diğer sunucuların bilgileri ve
bant genişliği kullanımı ile birlikte IDS’e gönderilmesinin, IDS tarafından yapılan
analize daha fazla katkı sağlayacağı değerlendirilmektedir. Yapılan analizin
etkinliğinin artması sonucu VIR Ağ’ındaki IDS CPU performansındaki kazanımları
sağladığı değerlendirilmektedir.
“ISP - smurf” saldırılarındaki RAM kullanımında ise yaklaşık %19’luk bir azalma
kaydedilmiştir. Analiz için gereken log bilgilerinin hipervizör tarafından
birleştirilmiş olarak IDS’e gönderilmesi, her sunucu log bilgisinin yerine sıkıştırılmış
ve daha anlamlı log bilgilerinin IDS tarafından kullanılmasını sağlamaktadır. IDS’in
analizleri için daha az sayıda log bilgisini üzerinde tutmasına imkan veren bu özellik,
IDS RAM kullanımının azalmasını sağladığı değerlendirilmektedir.
8.4.2 Senaryo 2
Uygulama esnasında ping atak (ping flooding), şifre kırma saldırısı, ağ keşif saldırısı
ve İnternet Servis Sağlayıcı (Internet Service Provider, ISP) saldırıları (smurf attack)
olmak üzere 4 farklı saldırı çeşidine göre saldırılar gerçekleştirilmiş ve CPU ve RAM
65
performans değerleri elde edilmiştir. Çizelge 8.18 ve Çizelge 8.19’da performans
değerleri görülmektedir.
Çizelge 8.18 : Saldırılar sonucunda elde edilen CPU değerleri karşılaştırılması.
CPU Kullanımı (%)
250,000 paket
1,000,000 paket
2,500,000 paket Şifre Saldırısı Ağ Keşif ISP (Smurf)
AKF Ağ 28.85 29.63 30.83 29.46 19.85 31.37
VIR Ağ 31.14 31.78 32.86 29.02 25.16 32.57
Performans Değişimleri + %7 + %7 + %6 - %1 + %21 + %4
Çizelge 8.19 : Saldırılar sonucunda elde edilen RAM değerleri karşılaştırılması.
RAM Kullanımı (%)
250,000 paket
1,000,000 paket
2,500,000 paket Şifre Saldırısı Ağ Keşif ISP (Smurf)
AKF Ağ 49.06 51.29 86.08 40.19 30.21 38.02
VIR Ağ 55.80 59.62 88.96 39.64 31.82 36.27
Performans Değişimleri + %12 + %14 + %3 - %1 + %5 - %5
Uygulama sonucu elde edilen değerlendirmelere göre, sanallaştırma teknolojileri
uygulanmış yüzlerce kullanıcıya hizmet veren, aktif bir ağın IDS’inin CPU ve RAM
performansı, sanallaştırma teknolojileri uygulanmamış bir test ağının IDS’inin CPU
ve RAM performansından daha iyi durumdadır.
“ping atak” saldırıları esnasında AKF Ağ’ında VIR Ağ’ına göre CPU kullanımında
250.000 ve 1.000.000 paket saldırılarında yaklaşık %7’lik bir azalma, 2.500.000
paket saldırısında yaklaşık %6’lık bir azalma kaydedilmiştir. Her üç farklı paket
saldırısında da benzer CPU performans kazanımları elde edilmiştir.
66
“ping atak” saldırılarındaki RAM kullanımında 250.000 paket saldırısında yaklaşık
%12’lik azalma, 1.000.000 paket kullanımlarında yaklaşık %14’lük azalma ve
2.500.000 paket kullanımında ise yaklaşık %3’lük bir azalma kaydedilmiştir. İlk iki
saldırıda benzer kazanım oranlarından sonra üçüncü saldırıda gerçekleşen CPU
performans kazanımındaki bu azalış, RAM seviyesinin son saldırı esnasında test eğı
ile gerçek ağda da son safhaya gelmesinin olduğu değerlendirilmektedir.
“şifre kırma” saldırılarında AKF Ağ’ında ve VIR Ağ’ında kayda değer bir CPU ve
RAM performans değişimi görülmemiştir. Bunun Senaryo 1’deki aynı sebeplerden
kaynaklandığı değerlendirilmektedir.
“ağ keşif” saldırıları esnasında AKF Ağ’ında VIR Ağ’ına göre CPU kullanımında
yaklaşık %21’lik bir azalma kaydedilmiştir. Aktif olarak kullanılan ve yüzlerce
kullanıcısı bulunan AKF Ağ’ında veri analizi daha etkili yapılmış ve normalde
IDS’in yapmakta olduğu trafik izleme ve analiz yapma görevlerinden çoğunu
hipervizör yapmıştır. Ağ keşfine yönelik saldırıların tespitinde, sanallaştırma
teknolojileri kullanılmış üzerinden yoğun veri akışı geçen bir ağ üzerinde daha
başarılı olmaktadır. Etkin analiz sayesinde daha az keşif paketini karşılayan IDS’in
CPU performans değerlerinin önemli ölçüde arttığı değerlendirilmektedir.
“ağ keşif” saldırılarındaki RAM kullanımında ise yaklaşık %5’lik bir azalma
kaydedilmiştir. Daha az keşif paketi üretilmesini sağlayan sanallaştırma teknolojileri
kullanılmış, üzerinden yoğun veri akışı geçen ağ yapısında, RAM kullanım oranı
CPU kazanım oranından daha az seviyede kazanım gerçekleştirilmiştir. Paket
seviyesinin azalmasıyla beraber yoğun veri trafiğinin bulunduğu ağlarda, analiz
edilen verinin bir miktar artmasıyla RAM kullanım oranının kazanımının daha düşük
olduğu değerlendirilmektedir.
“ISP - smurf” saldırıları esnasında AKF Ağ’ında VIR Ağ’ına göre CPU kullanımında
yaklaşık %4’lük bir azalma kaydedilmiş olup, RAM kullanımında %5’lik bir artış
gözlenmiştir. Gerçek veri akışının olduğu ve web sunucusunun aktif olarak çalıştığı
durumlarda test ağına göre CPU ve RAM kazanımı bulunmaktadır. Gerçek verilerin
analizinin, saldırı imzası taşıyan verilerden kolaylıkla ayırt edilmesinin kazanımı
sağlayan unsur olduğu değerlendirilmektedir.
67
8.4.3 Senaryo 2(b) (CheckPoint IDS)
Uygulama esnasında ping atak (ping flooding), şifre kırma saldırısı, ağ keşif saldırısı
ve internet servis sağlayıcı saldırıları (smurf attack) olmak üzere 4 farklı saldırı
çeşidine göre saldırılar gerçekleştirilmiş ve CheckPoint IDS CPU ve RAM
performans değerleri elde edilmiştir. Çizelge 8.20 ve Çizelge 8.21’de performans
değerleri görülmektedir.
Çizelge 8.20 : Saldırılar sonucunda elde edilen CPU değerleri karşılaştırılması.
CPU Kullanımı (%)
250,000 paket
1,000,000 paket
2,500,000 paket Şifre Saldırısı Ağ Keşif ISP (Smurf)
AKF Ağ 17.82 20.34 21.07 17.31 13.09 25.53
VIR Ağ 19.34 21.06 21.28 17.64 13.47 28.96
Performans Değişimleri + %8 + %3 + %1 + %1 + %3 + %12
Çizelge 8.21 : Saldırılar sonucunda elde edilen RAM değerleri karşılaştırılması.
RAM Kullanımı (%)
250,000 paket
1,000,000 paket
2,500,000 paket Şifre Saldırısı Ağ Keşif ISP (Smurf)
AKF Ağ 36.76 36.96 61.70 28.57 26.34 21.05
VIR Ağ 38.96 39.64 64.05 29.11 25.98 24.76
Performans Değişimleri + %6 + %7 + %4 + %2 - %1 + %15
Uygulama sonucu elde edilen değerlendirmelere göre, sanallaştırma teknolojileri
uygulanmış yüzlerce kullanıcıya hizmet veren, aktif bir ağın Checkpoint marka
yazılım ve donanım birlikte kullanılan IDS’in CPU ve RAM performansı,
sanallaştırma teknolojileri uygulanmış, üzerinde kısıtlı sayıda kullanıcının bulunduğu
bir test ağının IDS performansından daha iyi durumdadır.
68
“ping atak” saldırıları esnasında AKF Ağ’ında VIR Ağ’ına göre CPU kullanımında
250.000 paket saldırısında yaklaşık %8’lik bir azalma, 1.000.000 paket saldırısında
yaklaşık %3’lük bir azalma, 2.500.000 paket saldırısında ise kayda değer bir
değişiklik gözlenmemiştir. CheckPoint UTM cihazının kullanıldığı ve sadece IDS
özelliğinin aktif edildiği bu durumda, paket sayısı arttıkça kazanım oranının düştüğü
gözlenmektedir. Bu durumun, paket sayısı arttıkça IDS cihazının yönetim
konsolunun daha fazla çalışması sonucu CPU kullnımını %3-4 seviyesinde
artırmasından kaynaklandığı değerlendirilmektedir.
RAM kullanımında, 250.000 paket saldırısında yaklaşık %6’lık bir azalma,
1.000.000 paket saldırısında yaklaşık %7’lik bir azalma, 2.500.000 paket saldırısında
yaklaşık %4’lük bir azalma kaydedilmiştir. İlk iki paket sayılarında RAM kullanımı
kazanım oranlarında düşüş gözlenmekte, fazla paket kullanılan üçüncü paket
sayısında, RAM kullanımının son seviyelerinde olmasından dolayı, kazanım aynı
kaldığı değerlendirilmektedir.
“şifre kırma” saldırılarında AKF Ağ’ında ve VIR Ağ’ında kayda değer bir CPU ve
RAM performans değişimi görülmemiştir. Bu durumun Senaryo 1 ve Senaryo 2’deki
sebeplerden kaynaklandığı değerlendirilmektedir.
“ağ keşif” saldırıları esnasında saldırılarında AKF Ağ’ında VIR Ağ’ına göre CPU
kullanımında yaklaşık %3’lük bir azalma görülmüş olup, kayda değer bir RAM
performans değişimi görülmemiştir. Ağ keşif saldırısında, kazanım oranının Snort
IDS’e göre çok düşük kalmasının nedeninin CheckPoint UTM cihazının yönetim
konsolunun CPU kullanımı artırmış olmasından kaynaklandığı değerlendirilmektedir.
“ISP - smurf” saldırıları esnasında AKF Ağ’ında VIR Ağ’ına göre CPU
kullanımında yaklaşık %12’lik bir azalma kaydedilmiş olup, RAM kullanımında
yaklaşık %15’lik bir performans değişimi gözlenmiştir. Bu saldırı türünde,
CheckPoint UTM cihazı, Snort IDS’e göre daha fazla CPU ve RAM kazanımı
sağlamıştır. Ticari alanda sıklıkla karşılaşılan web sunuculara karşı gerçekleştirilen
bu saldırılara karşı, firmanın yazılımının daha etkin olduğu değerlendirilmektedir.
69
9. SONUÇ
Sanallaştırma teknolojilerinin kullanımı son yıllarda öneminin artmasıyla birlikte
bilgi teknolojilerinin birçok alanında yaygın bir biçimde kullanılmaya başlanmıştır.
Kullanımın yaygınlaşması sonucunda, yapılan çalışmalar sanallaştırmanın çeşitli
bilişim sorunlarında çözümün parçası olacak şekilde devam etmektedir.
Sanallaştırma teknolojilerinin kullanımı her alanda olduğu gibi güvenlik alanında da
giderek artan hızda yer almaya başlamış ve klasik güvenlik sorunlarının çözümü
yolunda çalışmaların vazgeçilmez aktörü olmuştur.
Saldırı Tespit ve Önleme Sistemleri ağın giriş-çıkış işlemlerinin yapıldığı “kapı”
noktasında konumlandırılırlar. Klasik anlamdaki bir ağ yapısında, IDPS’lerin
kaynaklara ve verilere ulaşmasında kısıtlamalar vardır ve IDPS’ler ihtiyacı olan
verilere erişim sağlayıp etkili bir analiz yapamazlar. Sanallaştırmanın “hipervizör”
adı verilen ana alt katmanı, IDPS’lerin analizde kullandığı verilerin tamamına
ulaşabilir. Bu sayede hipervizör ile IDPS’lerin birilikte çalışabilirliği IDPS’lerin
analizlerine fayda sağlamaktadır.
Konumlandırıldığı ve kendisine gelen saldırıları önlemekte olduğu ağın sanallaştırma
altyapısı kullanması, doğrudan IDPS’lerin CPU ve RAM performansına olumlu
etkide bulunmuştur. Hipervizör katmanının verileri kontrol yeteneği IDS’lerin analiz
ve karşılaştırmalarını kolaylaşmıştır. Sanallaştırma teknolojilerinin tatbik edildiği
ağın büyüklüğü ve üzerinden geçen veri trafiğinin yoğunluğu da IDPS’lerin
performansına olumlu etki etmiştir. İki farklı IDS üzerinden yapılan
değerlendirmelerde, veri yoğunluğunu artması, veri analizini ve dolayısıyla saldırı
analizlerinin etkinliğini artırmıştır. Etkin analiz sonucunda saldırıların tespit hızı
artmış ve tespit esnasında IDS donanım (RAM ve CPU) performanslarında
çoğunlukla yaklaşık %7 ile %11 arasında iyileşmeler kaydedilmiştir.
Sonuç olarak, sanallaştırma teknolojilerinin uygulanması IDS’lerin CPU ve RAM
performansına olumlu etki etmiş ve IDS ve IPS’lerin verimlerini artırmıştır.
IDPS’lerin donanım performanslarının ve kaynak kullanım etkinliğinin artması
sonucunda, mevcut kaynaklarının IDS üzerinde farklı uygulamalarda kullanım
70
imkanı sağlayacaktır. Ayrıca sanallaştırma teknolojileri uygulanmış ağlarda
kullanılan IDPS’lerin donanım maliyetleri düşmektedir. Daha etkin sonucu düşen
donanım maliyetleri, daha fazla sayıda IDPS konumlandırılmasına imkan verecek ve
dolaylı olarak da sistem güvenliğini sağlamlaştıracaktır. Bilgi güvenliğinin temel
taşlarından olan ağ güvenliğinin özel güvenlik görevlerini yürüten IDPS’lerin
performansı sanallaştırma teknolojileri ile uyumu sonucu artırmıştır.
9.1 Gelecek Çalışmalar
Yapılan tez çalışmasında, sanallaştırma teknolojilerinin IDPS’lere etkisi, saldırılar
devam ettiği sürece CPU ve RAM değerlerine göre karşılaştırılmıştır. Sanallaştırma
teknolojileri uygulanmış ağların saldırı analiz ve tespit süreleri, IDPS’lere olan
katkının başka bir boyutunu ele alabilecektir. Sanallaştırma teknolojileri uygulanan
ağları koruyan IDPS’lerin hangi tür saldırıları tespit oranlarının artması, hata (yanlış
alarm ve var olan saldırıyı tespit edememe) performansları, IDPS’lerin performans
ölçütlerinin bir diğer boyutunu oluşturmaktadır. Sanallaştırılmış ağlarda kullanılan
IDPS’lerin hangi tür saldırıları tespit oranlarının karşılaştırması konusu sonraki
çalışmalarda ele alınabilir.
Test ortamlarında gerçekleştirilen saldırılarda tek bir hedef ağ vardır ve saldırlar da
bu ağa yöneltilmiştir. Fakat bilişim dünyasında, özellikle bir çok hedef ağın
bulunduğu internet ortamında durum daha farklı olabilmektedir. Günümüz
teknolojisinde bir ağ cihazının arkasında yer alan bütün sistemler donanım ve yazılım
olarak çok çabuk bir biçimde detaylı olarak ortaya çıkarılabilmektedir. Bu kolay
keşif imkanı saldırganların hedef seçiminde etkili olabilecektir. İstisna olarak çok
özel durumlarda saldırganın hedefi özel olarak bir ağ ya da ağ grubu olarak
belirlenmiş olduğu durumlar haricinde, genellikle saldırganların hedefleri önceden
belirlenmemiştir. Bu durumda, saldırgan en az zaman ve emek harcayarak başarılı
olacağı ağlara saldırmayı tercih edecektir. Saldırganın hedefin seçimi esnasında,
öncelikle yaptığı keşif sonucu elde edeceği bilgileri kullanacaktır. Keşif sonucu elde
ettiği bilgiler doğrultusunda, aynı temel özelliklere sahip, birbirine benzeyen ağlar
arasında sanallaştırma uygulanmamış, sanallaştırma teknolojileri uygulanmamış ağ
ile sanallaştırma teknolojilerini başarıyla uygulamış ağ arasında tercih yapması
gerektiğinde, sanallaştırma teknolojileri kullanarak güvenlik seviyesi yükseltilmemiş
ağa saldırmayı tercih edebilecektir.
71
Aynı donanım özelliklerinde hazırlanan iki farklı ağ internet ortamında yerini
aldıktan sonra gelecek muhtemel saldırılar beklenmeye başlanabilir. Dış internet
bulutundan eşit ulaşılabilirlik mesafesinde bulunacak ağlar, saldırganların çeşitli
keşiflerine maruz kalacak ve ağ yapısı hakkında saldırganlar bilgi sahibi olacaktır.
Hemen hemen aynı sayıda keşfe maruz kalan ağlar, eşit sayıda saldırıya maruz
kalmayabilirler. Keşif sonucunda sanallaştırma teknolojileri kullanıldığı tespit edilen
ağa saldırmak, saldırgan tarafından tercih edilmeyebilir ya da öncelikli hedef başka
bir ağ tercih edilebilir. Saldırılara karşı koyma yeteneğinde farklı olarak, saldırıya
maruz kalmama, saldırıların hedefi olmama yeteneği olarak adlandırılabilen bu
durum caydırıcılık olarak ifade edilebilir. Basitçe ifade edilecek olursa, daha az
saldırıya maruz kalan daha az zarar görecektir. İnternet erişimine açılacak
sanallaştırma uygulanmış ve uygulanmamış iki ağın üzerinden saldırganların tercih
yönelimleri test edilebilir. Yapılacak çalışmalar sonucu sanallaştırma teknolojilerinin
saldırıları tespit ve önleme faaliyetlerinde gösterdiği katkının yanında, saldırganları
caydırma yetenekleri tespit edilebilir.
Saldırı tespit ve önleme faaliyetlerinin geliştiği dünyada, saldırı ve saldırgan
profilleri de gelişmeye devam etmektedir. En iyi savunma en uzaktan başlar
prensibiyle, saldırganı caydırmak ve bizim sahip olduğumuz ağımızdan başka bir ağ
ile meşgul olmasını sağlamak en iyi savunma yöntemlerinden biri olacaktır.
Sanallaştırma teknolojilerinin saldırganları caydırıp caydırmadığı en iyi şekilde
saldırganların sürekli arayış halinde oldukları internet dünyasında ve gerçek iletişim
ortamlarında belli olacağı değerlendirilmektedir.
72
73
KAYNAKLAR
[1] Alshawabkeh M., Aslam J. A., Kaeli D. ve Dy J. (2011), A Novel Feature Selection for Intrusion Detection in Virtual Machine Environments, Tools with Artificial Intelligence (ICTAI), 2011 23rd IEEE International Conference on. IEEE, 2011.
[2] Kohavi R. ve John G. (1997), Wrappers for feature subset selection. Artificial Intelligence, (Sf.273–324), 1997.
[3] Asrigo K., Litty L. ve Lie D. (2006), Using VMM-based Sensors to Monitor Honeypots, In Proceedings of the 2nd international conference on Virtual execution environments (VEE '06), (Sf. 13-23), ABD, 2006.
[4] Lengyel T. K., Neumann J., Maresca S., Payne B. D. ve Kiayias A. (2012), Virtual machine introspection in a hybrid honeypot architecture, InProceedings of the 5th USENIX Conference on Cyber Security Experimentation and Test, CSET, (Sf. 5), 2012.
[5] Azmandian F., Kaeli D. R., Dy J. G., Aslam, J. A. ve Schaa D. (2012), Securing cloud storage systems through a virtual machine monitor, In Proceedings of the First International Workshop on Secure and Resilient Architectures and Systems (Sf. 19-24), 2012.
[6] Baiardi F. ve Daniele S. (2007), Building trustworthy intrusion detection through VM introspection, Information Assurance and Security, (IAS 2007) Third International Symposium on. IEEE, 2007.
[7] Bourguiba M. ve El Korbi I. (2014), Improving Network I/O Virtualization for Cloud Computing, IEEE Transactions On Parallel And Distributed Systems, (Cilt 25, Sayı 3, Sf.673-681), Mart 2014.
[8] Laureano M., Maziero C. ve Jamhour E. (2004), Intrusion Detection in Virtual Machine Environments, In Proceedings of the 30th EUROMICRO Conference (EUROMICRO '04), (Sf. 520-525), 2004, ABD.
[9] Sancak S., Saldırı Tespit Sistemleri Tekniklerinin Karşılaştırması, Yüksek Lisans Tezi, 2008.
[10] Oktay U., Bulut Bilişimde Vekil Ağ Saldırı Tespit Sistemi, Yüksek Lisans Tezi, 2013.
[11] Türk Dil Kurumu, http://www.tdk.gov.tr.(Erişim tarihi: Şubat 2014). [12] Çalışkan M., Şen İ., Kuğu E. ve Aydın M.A. (2013), Sanallaştırma
Teknolojilerinin Saldırı Tespit ve Önleme Sistemleri Üzerine Etkisi, 1st International Symposium on Digital Forensics and Security (ISDFS’13), (Sf. 244-249) 20-21 Mayıs 2013, Elazığ, Türkiye.
[13] Baykara M., Daş R. ve Karadoğan İ. (2013), Bilgi Güvenliği Sistemlerinde Kullanılan Araçların İncelenmesi, 1st International Symposium on Digital Forensics and Security, 2013.
[14] Rosen E. C. ve Yakov R. (2006), BGP/MPLS IP virtual private networks (VPNs), (2006).
[15] Canli C., Saldırı Tesbit Sistemlerinin İncelemesi ve Bu Bağlamda Bilgi Güvenliği, Yüksek Lisans Tezi, 2009.
74
[16] Modi C., Patel D., Borisaniya B., Patel H., Patel A. ve Rajarajan M. (2013), A survey of intrusion detection techniques in Cloud, Journal of Network and Computer Applications, (Cilt 36, Sayı 1, Sf. 42–57), Ocak 2013.
[17] Pearce M., Zeadally Y. ve Hunt R. (2013), Virtualization: Issues, security threats, and solutions, ACM Comput. Surv. 45, (Cilt 2, Sf. 1-39), 2013.
[18] Laadan O. ve Nieh J. (2010), Operating System Virtualization : Practice and Experience, In Proceedings of the 3rd Annual Haifa Experimental Systems Conference (SYSTOR '10), (Cilt 17, Sf. 12), 2010.
[19] Ray E., Schultz E. (2009), Virtualization security, Proceedings of the 5th Annual Workshop on Cyber Security and Information Intelligence Research: Cyber Security and Information Intelligence Challenges and Strategies, (Cilt 42, Sf. 1-5), 2009.
[20] Laadan O., Nieh J. (2010), Operating system virtualization: practice and experience, Proceedings of the 3rd Annual Haifa Experimental Systems Conferance, (Cilt 17, Sf. 1-12), 2010.
[21] Zhao S., Chen K. ve Zheng W. (2009), The Application of Virtual Machines on System Security, ChinaGrid Annual Conference (ChinaGrid '09), (Sf. 222-229), Ağustos, 2009.
[22] Popek G.J. ve Goldberg R.P. (1973), Formal Requirements For Virtualizable Third Generation Architecture, Proceedings of the fourth ACM symposium on Operating system principles (SOSP '73), (Sf. 121), 1973.
[23] Sugerman J., Ganesh V. ve Beng-Hong L. (2001), Virtualizing I/O Devices on VMware Workstation’s Hosted Virtual Machine Monitor, Proceedings of the 2001 USENIX Annual Technical Conference, (Sf. 1-4), 2001.
[24] Kelem N. ve Feiertag R. (1991), A Separation Model for Virtual Machine Monitors, Research in Security and Privacy, (Sf. 78- 86), 1991.
[25] Chen P. ve Noble B. (2001), When Virtual Is Better Than Real, Proceedings of the 2001 Workshop on Hot Topics in Operating Systems (HotOS), (Sf. 133), 2001.
[26] Ray E. ve Schultz E. (2009), Virtualization security, Proceedings of the 5th Annual Workshop on Cyber Security and Information Intelligence Research: Cyber Security and Information Intelligence Challenges and Strategies, (Cilt 42, Sf. 1-5), 2009.
[27] Soundararajan V. ve Anderson J. M. (2010), The impact of management operations on the virtualized datacenter, In Proceedings of the 37th Annual Iternational Symposium on Computer Architecture (ISCA’10), (Sf. 326), 2010.
[28] Dinaburg A., Royal P., Sharif M. ve Lee W. (2008), Ether: malware analysis via hardware virtualization extensions, In Proceedings of the 15th ACM Conference on Computer and Communications Security (CCS’08), (Sf. 51-62), 2008.
[29] Garfinkel T., Pfaff B., Chow J., Rosenblum M. ve Boneh D. (2003), Terra: A Virtual Machine-Based Platform for Trusted Computing, Proceedings of the Nineteenth ACM Symposium on Operating Systems Principles (SOSP’03), (Sf. 193-206), Ekim 2003.
75
[30] Muir S., Peterson L., Fiuczynski M., Cappos J. ve Hartman J. (2005), Proper: Privileged Operations in a Virtualised System Environment, Proceedings of the Annual Conference on USENIX Annual Technical Conference, 2005.
[31] Potter S., Nieh J. ve Selsky M. (2007), Secure Isolation of Untrusted Legacy Applications, 21st Large Installation System Administration Conference (LISA ’07), (Sayı 7, Sf. 1-14), 2007.
[32] Hay B. ve Nance K. (2008), Forensics Examination of Volatile System Data Using Virtual Introspection, ACM SIGOPS Operating Systems Review, (Cilt 42, Sayı 3, Sf. 74-82), Nisan 2008.
[33] Peng L. ve Mohammed T. (2008), Integration of Virtualization Technology into Network Security Laboratory, Frontiers in Education Conference (FIE), (Cilt 38, Sf. 7-12), Ekim 2008.
[34] Haider A., Harris R.J. ve Sirisena H. (2013), Virtualization and New Generation Network Design, Telecommunication Networks and Applications Conference (ATNAC), (Sf. 189-194), Kasım 2013, Avustralya.
[35] Elbers J. ve Autenrieth A. (2013), Extending Network Virtualization into the Optical Domain, Optical Fiber Communication Conference and Exposition and the National Fiber Optic Engineers Conference (OFC/NFOEC), (Sf.1-3), Mart 2013.
[36] Collier G., Plassman D. ve Pegah M. (2007), Virtualization’s Next Frontier : Security, Proceedings of the 35th annual ACM SIGUCCS fall conference (SIGUCCS’07), (Sf. 34–36), 2007.
[37] Hwang J. (2003), Improving and Repurposing Data Center Resource Usage with Virtualization, B.S. in Electronics, Computer, and Telecommunication Engineering, Şubat 2003.
[38] Bari M. F., Boutaba R., Esteves R., Granville L. Z., Podlesny M., Rabbani M. G. ve Zhang Q. (2013), Data Center Network Virtualization: A Survey, IEEE Communications Surveys & Tutorials, (Cilt 15, Sayı 2, Sf. 909-928), 2013.
[39] Haojun L., Hui J.Y. ve Fayoumi A.G (2013), A Low Power and Delay Multi-Protocol Switch with IO and Network Virtualization, High Performance Switching and Routing (HPSR), IEEE 14th International Conference, (Sf. 35-42), Temmuz 2013.
[40] Soundararajan V. ve Anderson J. M. (2010), The impact of management operations on the virtualized datacenter, In Proceedings of the 37th Annual Iternational Symposium on Computer Architecture (ISCA’10), (Sf. 326), 2010.
[41] Dean J. ve Ghemawat S. (2008), MapReduce: Simplified Data Processing on Large Clusters, Commun. ACM (Cilt 51, Sayı 1), Ocak 2008.
[42] Dasilva D., Liu L., Bessis N. ve Zhan Y. (2012), Enabling Green IT Through Building a Virtual Desktop Infrastructure, Semantics, Knowledge and Grids (SKG) Eighth International Conference, (Sf. 32-38), 2012.
[43] Finn A., Lownds P., Luescher M. ve Flynn D. (2012), Windows Server 2012 Hyper-V Installation and Configuration Guide. Sybex, Indiana, Mart 2013.
76
[44] Tosatto D. (2013), Citrix XenServer 6.0 Administration Essential Guide. Packt Publishing, Birmingham, Haziran 2012.
[45] Bratus S., Locasto M. E., Ramaswamy A. ve Smith S. W. (2008), Traps, Events, Emulation, and Enforcement : Managing the Yin and Yang of Virtualization-based Security, Proceedings of the 1st ACM workshop on Virtual machine security (VMSec’08), (Sf. 49–58), 2008.
[46] Popet G.J. ve Goldberg R.P. (1974), Formal Requirements For Virtualizable Third Generation Architecture, Commun. ACM (Cilt 17, Sayı 7, Sf. 412-421), Temmuz 1974.
[47] Zamboni D.,(2001), Using internal sensors for computer intrusion detection, Doktora Tezi, Center for Education and Research in Information Assurance and Security, Purdue Üni., 2001.
[48] Oktay U., Aydin M.A., Sahingoz O.K. (2013), Circular Chain VM Protection in AdjointVM, Technological Advances in Electrical, Electronics and Computer Engineering (TAEECE), (Sf. 93-97), Mayıs 2013, Konya.
[49] Scarfone K., ve Mell P. (2007), Guide to Intrusion Detection and Prevention Systems (IDPS), NIST (SP800-94) National Institute of Standards and Technology, Gaithersburg, Şubat 2007.
[50] Allen J., Christie A., Fithen W., McHugh J., Pickel J. ve Stoner E. (1999), State of the Practice of Intrusion Detection Technologies, Technical Report CMU/SEI- 99-TR028. Carnegie, 1999.
[51] Rizza J. M. (2005), Computer network security, (Springer), (Sf.316-332), 2005. [52] Sobh T. S. (2006), Wired and Wireless Intrusion Detection System:
Classifications, Good Characteristics and State-of-the-art, Computer Standards & Interfaces, (Sf. 670-694), 2006.
[53] Lee W. ve Stolfo S.J. (1998), Data Mining Approaches for Intrusion Detection, Proceedings of the 7th conference on USENIX Security Symposium, (Cilt 7, Sf.6), 1998.
[54] Patcha A. ve Park J.M. (2007), An Overview of Anomaly Detection Techniques: Existing Solutions and Latest Technological Trends, Computer Networks, (Cilt 51, Sayı 12, Sf. 3448-3470), 2007.
[55] Wu Z., Xiao D., Xu H. ve Peng X. (2009), Virtual Inline:A Technique of Combining IDS and IPS Together in Response Intrusion, Education Technology and Computer Science (ETCS '09), (Sayı 1, Sf. 1118-1121), 2009.
[56] Dagon D., Qin X.,Gu G., Lee W., Grizzard J. B., Levine J. G. ve Owen H. L. (2004), Honeystat: Local Worm Detection Using Honeypots, In Recent Advances in Intrusion Detection: 7th International Symposium (RAID), (Sf.39–58), Eylül 2004.
[57] Jiang X. ve Xu D. (2004), Collapsar: A VM-based Architecture for Network Attack Detention Center, In Proceedings of the 13th USENIX Security Symposium, (Sf. 15–28), Ağustos 2004.
[58] Bal çanağı projesi, http://www.honeynet.org. (Erişim tarihi: Mart2014).
77
ÖZGEÇMİŞ
Murat ÇALIŞKAN 1983 yılında İstanbul’da doğdu. Orta öğretimini Kuleli Askeri
Lisesi’nde tamamladıktan sonra Kara Harp Okulu’ndan 2004 yılında Piyade Teğmen
olarak mezun oldu. İleri seviyede İngilizce bilmektedir.
Ad Soyad : Murat ÇALIŞKAN
Doğum Yeri ve Tarihi : İstanbul / 24.10.1983
Adres : Hava Harp Okulu, Yeşilyurt / İstanbul
E-Posta : [email protected]
Lisans : Kara Harp Okulu
Yayın Listesi
Çalışkan M., Şen İ., Kuğu E. ve Aydın M.A. (2013), Sanallaştırma
Teknolojilerinin Saldırı Tespit ve Önleme Sistemleri Üzerine Etkisi, 1st
International Symposium on Digital Forensics and Security (ISDFS’13), (Sf. 244-
249) 20-21 Mayıs 2013, Elazığ, Türkiye.
TEZDEN TÜRETİLEN YAYINLAR/SUNUMLAR
Caliskan, M., Ozsiginan, M., ve Kugu, E. (2013), Benefits of the virtualization
technologies with intrusion detection and prevention systems, In Application of
Information and Communication Technologies (AICT), 7th International Conference
on, sf.1-5, Ekim 23-25, 2013, Bakü, Azerbaycan.
