SSH Güvenli mi?

Feb 16th, 2008

Son zamanlarda çıkan açıklardan ve saldırılardan sonra SSH güvenli mi? diye sormak ve bunu sizlerle paylaşmak istedim. SSH (Secure Shell) yani güvenli kabuk olan ağ bağlantı protokolü ismi kadar güvenli mi?

Genelde bizi yanıltan ismi olmaktadır. Güvenli kabuk ismi esasen bu protokolün tamamen güvenli olduğunu göstermemektedir. Bunu sektörde çalışanlar gayet iyi bilmektedir. Mesela SSH 1 ile ilgi açıklardan sonra sadece SSH 2 bağlantılarının kullanılır hale gelmesi bundandır. Tabii hala SSH1 kullanan olduğunu da belirtmek isterim.

SSH bir bağlantı protokolüdür. Genelde tüm ağlarda güvenlik duvarları tarafından izin verilmiştir. Yani dışarıdan içeriye doğrudan bağlantı SSH ile sağlanmaktadır. Şifrelenmiş olarak veri alışverişi yapılmaktadır. Bu yüzden veri içerisinden ne geçtiğinin görülmesi mümkün değildir (MIM hariç).

Peki ne yapmalıyız. Devamlı denetim yapılması önemlidir. Özellikle kullanıcı hesaplarının şifreleri devamlı olarak zayıflık taramasından geçirilmesi gerekmektedir. Herhangi bir sisteme iki şekilde girilebilir. Remote exploit veya local exploit. Yani, uzaktan veya yerel açıklar sayesinde yapılabilir. Bunlara en iyi örnek en son çıkan açıktır (http://blog.csirt.ulakbim.gov.tr/?p=77). Eğer yerel kullanıcınız varsa çok kolay bir şekilde edindiğiniz açık sayesinde henüz yaması yapılmamış bir  sistemde ROOT olmak içten bile değildir.

Önemli olan nedir? Sistem yöneticileri bu açıkları anında takip etmekte ve gerekli önlemleri almaktadırlar. Fakat, kendi bilgisayarını yöneten normal kullanıcılar bu açıkları takip etmekte zorlanmaktadır. Bu her açık için geçerlidir.

Peki SSH özelinde ne yapılabilir? Özellikle çok yoğun bir kullanıcı kitlesi olan üniversitelerde durum ne olacaktır?

İlk önce sadece güvenilir bilgisayarlara SSH izni vermekle başlanabilir. Günümüzde nerede ise tüm ağlar güvenlik duvarı ile korunmaktadır. Bu güvenlik duvarında sadece belli IP’lere SSH erişimi izni verilmesi yerinde bir karar olacaktır.

Ne yazik ki üniversiteler pekçok kötü niyetli kişiler için atlama noktası olmaktadırlar. Bu kişiler saldırı yapmak için pekçok bilgisayarın yönetimini ele geçirmekte (veya zayıf kullanıcı hesapları ile)başka yerlere çeşitli saldırılar yapmaktadırlar. Son açıklar ise bu kişilerin özensiz oluşturulan hesaplar sayesinde bilgisayarları tamamen ele geçirmişlerdir.

Bu noktada ele geçirilmiş bilgisayarlar ile ne yapılabilir diye sormak önemlidir. Ele geçirilen (hele ROOT hakları ile birlikte ise) bilgisayarın tamamen baştan kurulması en temel kural olmalı ve bu en kısa sürede yapılmalıdır. Bu işlemde sonra tüm kullanıcıların tekrar (istisnasız olarak) şifre almaları sağlanmalıdır. Şifrelerin kullanıcılara eposta ile gönderilmesi kabul edilebilir bir yöntem değildir. En güvenli yöntem tüm kullanıcıların bizzat kimlikleri ile gelip yeni şifrelerini almasıdır.

 Son olarak ele geçirilen sistemlerin bulunduğu tüm ağlar güvensiz sayılmalıdır ve bu ağda kullanılan tüm şifreler değiştirilmelidir. Özellikle şifreli sistemin yönlendirici/güvenlik duvarı olması halinde durum çok kritik bir hal alacaktır. Sistem güvenliği olmadan ağ güvenliğinin olması düşünülemez. Güvenli sistemlerin güvenli bir ağda bulundurulması bu pratiktendir. Kullanıcı ile sunucu ağlarının ayrılmasının temel nedenleri arasındadır.

Umarım bu çıkan son Linux çekirdek açığı bizlere bir örnek olur ve en kısa sürede SSH ile ilgili yanlış anlamayı gideririz. Güvenli bir bağlantı için tek başına SSH’ın yeterli olmayacağı anlaşılmalıdır.

Tags:
No comments yet.