From: Serdar KOYLU (skoylu@altavista.com)
Date: Tue 19 Dec 2000 - 19:44:05 EET
Selamlar..
On Tue, 19 December 2000, LCF wrote:
>
> Application kisminda hakli olabilirsiniz ama isi network communication
> kismina gelirsek is 7 layer `in altinda bitiyor.
Evet, cok haklisiniz.. Benim soylemeye calistigim Layer7 altindaki paketlerin gizlilik yonunden daha zayif oldugu. Ethernet kablosundan gecen sinyalleri iyi (ve ozel) bir RF alici ile 3-4 metreden (duvarin disindan) alip isleyebileceginizi soylesem durumu anlarsiniz.
> SSL SSH gibi uygulamalar ise matematiksel algoritmalara dayanilarak
> yapilmistir ssl ve ssh in open source olmasi sizin ilgili C
> codelarina bakiim himmm buda boyle olmus diye bakmaniz sadece size bu konu ve isleyis
> konusunda fikir verebilir ama matematiksel olarak strong veya destrong
> olmasini saglamaz. Sizin dediginiz olaya gelirsek aslinda Temelde kerberos
> /etc/passwd dosyasi icin kullanilan des md5 gibi algoritmalar ile ssl ssh
> in kullandigi algoritmalar acisindan algoritma yapisi ve strong olmasi
> haricinde pek bir fark yoktur bu baglamda mevcut sistemlerin hepsine
> insecure dememiz gerekir.
Bir noktada evet. Benim uygulama seviyesinden kastim, iyi bilinen network protokollerinden otede algoritma olarak daha karisik ve sadece uygulamaya ozel bir sifreleme metodu getirmek. Ornek olarak bazi kurumlar, ozel bilgilerini 300-500 sayfalik dokumanlarin arasina serpistiriyor. Iste bunun gibi.. Mesela program, fiyatlari ozel bir katsayi ile kullanirsa, bu fiyatlari cozmek son derece zorlasir. Bunun gibi bilginin olusturulmasinin da cok onemli oldugunu unutmamak gerekir. Mesela cumlelerin "edilecegini, gidilecegi, gelinecigi" gibi sonlandirmak bazi crypto algoritmalarinda daha iyi netice verir. Askerler bile bu tur metotlari uygular.
Kestirmeden, onemli bilgilerin saklanmasi sadece matematik formullere birakilacak is degildir. Dummy bilgiler, celdirici ozellikler vs. kullanilmalidir ki, bilgiler daha guvende olsun. Bu suna benzer, 10 tane cephanelik yaparsiniz, ama sadece biri dolu olur. Nobetciler gidip hepsini kontrol eder, fakat onlar bile hangilerinin icinin bos oldugunu bilmez. Eger microsoft, Farkli bir server koyup, basitce asilabilecek bir kac engel koysaydi, servere gereksiz kodlari saklasaydi, buyuk ihtimalle hackerlar bu kodlari bulunca tamam ms'yi fethettik diye sevinirken biyik altindan guleceklerdi. Bunun gibi Layer 7'ninde ustunde onlemler kullanmalisiniz. Ornek:
Tum fiyatlari once 10 a carpin. Sonra 7'ye bolun. Ardindan 50 ekleyin. Bundan program habersiz olsun. Dogru kullanici bi formulu bilir, dogru fiyati bulur. Birisi hasbelkader keyi tespit etse bile, bu formulu tespit edemez. Sonucta eger guvenilir elemanlariniz varsa maximum guvenligi elde edersiniz. Tabi bu islemi kredi karti ile alisveris icin yapmaniz cok zor. Bu durumda internet karti gibi onlemlere basvurmaniz lazim.
> Eger bu derece bu sistemlere guveniniz yoksa trusted network olan
> A+ verified design networkler olusturun
Peki bunu nasil yapabiliriz ? Ilgili dokumanlara nasil ulasabiliriz ?
> Kolay Gelsin
> -ozan
Guvenlik tedbirleri herzaman yetersizdir. Bu noktada prensip sudur:
Guvenlik yatirimlari korunan seyin maliyetine baglidir. Eger 10 milyon dolar koruyorsaniz, 20 milyon dolarlik guvenlik yatiriminin anlami yoktur.
Bu konularda benden fersah fersah ilerde olduklarini dusundugum liste sakinlerini (Andreas bey, Sevgili Murat Koc gibi.. ) de okumak ve fikirlerini ogrenmek isterim. Nede olsa benim asil i$tigalim guvenlikten ziyade Layer 0 - 5 arasi ve biraz da programlama..
Saygi ve sevgiler..
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/