Web Yayıncılığı Dersi 7. Ünite Özet

Giriş

Web yayıncılığının gelişmesiyle birlikte, erişim ve güvenlik konuları da gündeme gelmektedir. Web sayfalarına her gün milyonlarca siber saldırı düzenlenebilmekte, kullanıcı ve içerik güvenliği tehlikeye atılabilmektedir.

Kullanıcıların SSL Sertifikasıyla Korunması

E-ticaret ve bankacılık gibi hizmetlerin internet üzerinde sağlanmasıyla, kişisel bilgilerin ve özel verilerin güvenli bir şekilde aktarılması için Türkçe’ye Güvenli Yuva Katmanı olarak çevrilebilecek olan Secure Sockets Layer (SSL) sertifikaları devreye girmiştir. Sunucu ile istemci arasındaki iletişimin şifrelenmiş bir şekilde yapılmasına olanak sağlayan SSL sertifikasının iki işlevi vardır:

• Web sitesi kimliğini doğrular (böylece ziyaretçilerin sahte bir sitede olmadıkları garantilenir).
• Aktarılan verileri şifreler

Netscape tarafından geliştirilen SSL sertifikası, bilginin şifrelendirilerek gönderilmesini ve sadece doğru adreste deşifre edilebilmesini sağladığı için alışveriş sitelerinde, e-posta gönderimlerinde ve FTP dosya transferlerinde kullanılmaktadır. SSL 1.0 sürümü ile piyasa sürülmüş, 1996 yılında ortaya çıkan ve tüm internet tarayıcıları tarafından desteklenen 3.0 versiyonu ile kullanımı oldukça yaygınlaşmıştır. SSL 3.0 günümüzde yerini geliştirilme aşamasında olan Transport Layer Security/TLS 1.3’e bırakma eğilimindedir. Gizli ve hassas bilgileri, alan, işleyen, toplayan, saklayan ya da görüntüleyen web siteleri kullanan tüm birey ve kuruluşlar web sitelerine SSL sertifikası almalıdır.

SSL sertifikası kullanılan bir web sitesinde, HTTPS protokolünün kullanıldığı ve iletişimin şifreli bir şekilde gerçekleştiği anlamı çıkar. SSL ile istemci ve sunucu arasındaki şifreli iletişim, ön tanımlı olarak 443 numaralı kapı (port) kullanılarak sağlanır. SSL sertifikalarının web sitesi güvenliği kapsamında çalışma prensibi incelendiğinde, ilgili kuruluşun talebiyle, öncelikle SSL sertifika sağlayan sunucular sertifika üretir. Sertifika üretiminin yanı sıra herkese açık anahtar (public key) ve özel anahtar (private key) olarak iki kilitleme sistemi kullanılır. SSL sertifikalarında; sunucuda ve istemcide birbirinin aynısı tek bir anahtar olan güvenlik düzeyi düşük simetrik şifreleme ve istemcinin veriyi herkese açık anahtar ile şifrelediği sunucunun ise veriyi özel anahtar ile çözdüğü asimetrik şifreleme kullanılır. RapidSSL, Verisign, Digicert, Thawte, Global Sign ve Symantec gibi kuruluşlardan tek (standard), wildcard veya birden fazla etki alanı içeren (çoklu alan) SSL sertifikaları alınabilmektedir. Bir web sitesi SSL sertifikasına sahipse adres linkinin sonundaki yeşil asma kilit, HTTP yerine HTTPS ön eki, bir güven mührü ve yeşil bir adres çubuğu ile kurumun adının yazılması şeklinde olan dört görsel işarete sahiptir.

Dosya Şifreleme

Dosya şifreleme özelliği dosyaların sunucu üzerinde şifreli olarak saklanmasıyla, dosyaların yetkisi olmayan kişilerce görüntülenmesinin veya kullanılmasının engellenmesi anlamına gelmektedir. Dosyalar, yerelden sunucuya yüklenirken önce kullanıcı tarafından atanan bir parola ile şifrelenir. Dosyalar indirildiğinde ise önce şifreli dosyalar indirilir ve ardından özel anahtarla deşifre edilir. Dosyaları şifrelemede ve şifre çözmede kullanılabilecek şifreleme türleri; AES (128 & 256 bit), Blowfish, Cast5, DES, DESX, 3DES, RSA (1024 & 2048 bit) ’dır. FTP programlarında dosya şifreleme işlemi için SmartFTP programı ile şu adımlar izlenerek yapılabilir; sunucuya bağlandıktan sonra favoriler menüsünde “favorileri yönet” düğmesine tıklanır, mevcut favori kopyalanır, adı değiştirilir ve dosya şifreleme ayarlarına gidilir, favorinin yapılandırılması için “Özellikler (properties)” seçeneğine gidilerek sol bölmede bulunan “Şifreleme (Encryption)” kısmına tıklanır, burada “Dosya Şifreleme (File Encryption)” açılır kutusuna tıklanarak “Aktif (Enable)” seçeneği seçilir, bu pencerede “Sertifika (Certificate)” bölümü için veri tabanının adı seçilerek AES şifreleme anahtarıyla şifrelenmesi sağlanır, “Yeni Anahtar Üret (Generate New Key)” düğmesi kullanılarak yeni bir anahtar üretilir ve Şifrelenmiş olan dosyaya, fareyle sağ tıklanarak “Bağlan (Connect)” seçeneğine tıklanır. Bağlantı sağlandıktan sonra test ve doğrulamanın yapılması gereklidir.

Virüsten Korunma

Web kullanıcılarının kişisel bilgilerinin girilmesini gerektiren alışveriş, bankacılık işlemleri gibi özel bilgilerini girdiği web sayfalarına erişirken kullanılan bilgisayarın güvenli olması gerektiği gibi, işlem yapılan web sayfasının da güvenli olduğundan emin olunması gerekmektedir. Bu bağlamda, dikkat edilmesi gereken önemli noktalardan biri de SSL/TLS sertifikalı ve HTTPS erişim protokolünü kullanan web sitelerin tercih edilmesi gerekliliğidir. İnternet üzerinden güvenli işlem yapmak için uyulması gereken bazı kurallar vardır. Bu kurallar aşağıdaki gibi sıralanabilir:

• İyi bilinen, güvenilir sitelerden işlem yapılmalıdır.
• Başka bir kaynaktan gelen bağlantılardan değil de doğrudan internet adresi yazılarak alışveriş sitesine bağlanılmalıdır.
• Her türlü sahte site tehdidine karşı dikkatli olunmalıdır.
• Alışveriş, interaktif bankacılık gibi işlemlerde internet kafe gibi internetin ortak kullanıldığı alanlar kullanılmamalıdır.
• Ödeme sayfasının güvenli site (HTTPS) olduğu mutlaka kontrol edilmelidir.
• Ödeme yaparken kişisel bilgiler veya kredi kartı gibi bilgiler girilirken sanal klavye kullanılmalıdır.
• İnternetten yapılan ödemeler, mutlaka kredi kartı hesap özetinden kontrol edilmelidir.
• Alışverişlerde sanal kredi kartı kullanmaya çalışılmalı ve bu kartın limiti kontrol edilmelidir.
• İnternet bankacılığı için kullanılan parola banka çalışanları dâhil kimseyle paylaşılmamalıdır.

Web sitelerinin sunucularına da dosya virüsleri, makro virüsleri, casus yazılımlar (spyware), reklam yazılımları (adware), truva atı (trojan horse), solucan (worm) gibi bilgisayar virüsleri bulaşabilir ve diğer bilgisayarlara bulaştırabilir. Son zamanlarda en yaygın görülen virüslerden biri çapraz site betik virüsleri (cross-site scripting virus/XSSV) olarak göze çarpmaktadır. Çok popüler antivirüs programıyla web sitelerinin sunucularında bulunan güvenlik açıkları, kötü amaçlı yazılımlar, kodlar, çevrim içi veya çevrim dışı olarak taranabilir. Ayrıca güvenlik duvarı (firewall) yazılımlarının mutlaka kurulması, güncellemelerine dikkat edilmesi önemlidir. .htaccess, Hypertext Access’in kısaltması olarak Zengin Metin Erişimi olarak bilinen ve başta Apache olmak üzere çoğu ağ sunucusu tarafından kullanılan web alanı üzerinde ayar değişimleri yapılmasını sağlayan dosyaya verilen addır. .htaccess dosyasında birkaç değişiklik yapılarak web sunucular üzerinde gizli klasörler oluşturulabilir, direk dosya erişimi (hotlinking) engellenebilir ve zararlı botlardan koruma sağlanabilir. Dosya ve URL formatlarının arama motoru optimizasyonu (SEO) açısından daha aktif hale getirilebilmesi için .htaccess düzenlenmelidir.

Alan Adları ve DNS’lerin Güvenliği

Alan adı (domain) IP (İnternet Protokol) adresleri olarak bilinen, bilgisayarların birbirlerini tanımasını sağlayan numerik sistemin kelimelerle ifade edilen hâlidir. Kısaca web sitelerinin adıdır. Örneğin “eskisehir.com” alan adına sahip bir web adresi adres çubuğuna yazıldığında, internet sağlayıcısı tarafından bu adrese sahip alan adının IP adresi çözümlenir ve kullanıcıların bu IP adresine sahip siteye yönlendirilmesi sağlanır. Alan adı seçiminde site tasarımcılarına verilebilecek bazı önemli ipuçları şu şekilde sıralanabilir:

• Alan adlarının kısa ve basit tutulması gerekmektedir.
• Alan adlarının özgün olması gerekmektedir.
• Alan adlarında fazla noktalama işaretleri kullanılmamalıdır.
• Arama motorlarında daha yukarılarda yer alabilecek olan uzantılar seçilmelidir.
• Telif sorunu yaratabilecek olan alan adlarından kaçınılmalıdır.

Uluslararası alan adı uzantıları, ABD’den ICAAN konsorsiyumuna kayıtlı firmalardan alınır. Bu alan adlarına ilk başvuran alır, kuralı uygulanmaktadır. Dolayısıyla web sitesine verilmek istenen isim daha önceden alınmamışsa belirlenen site ismi kullanılabilir. Coğrafi alan adı uzantıları uluslararası alan adı uzantıları gibi aynı uzantılara sahiptir. Aradaki fark ise bu tip alan adı uzantılarında tescil edildikleri ülkelerin internet takısının alan adı uzantısının sonuna ilave edilmesidir. Örneğin alan adı Türkiye’den alınmış ise alan adı sonuna Türkiye’nin internet ortamındaki uzantısı olan .tr eklenir. Web site tasarımcıları tarafından oluşturulan ve alan adı alınan sitelerin güvenliğini sağlamak önemli bir noktadır. Web sitesini tasarlayan kişinin mail adresini ele geçiren kişiler, alan adının alındığı firmalardan yeni şifre isteyebilmektedir. Site kullanımını ele geçirmek isteyen kişilerin kullandıkları diğer bir yol ise alan adı için kullanılan şifrelerin tahmin edilmesi şeklinde gerçekleşmektedir. Alan adlarının güvenliğini sağlayabilmek için piyasadaki güvenilir firmalardan bu alanları almak önemlidir. Alan adlarının güvenliğini sağlayabilmek için dikkat edilmesi gereken adımlar şu şekilde özetlenebilir:

• E-posta kutusuna düşen her mail açılmamalı, bu maillerde verilen bağlantılara gidilmemeli ve bu maillerle birlikte gönderilen dosyalar indirilmemelidir.
• Şifreleme yönteminde kullanılan gizli soruların cevabı, tahmin edilebilme olasılığına göre cevaplandırılmalıdır.
• Şifre bilgisi isteyen hiçbir maile cevap verilmemelidir.
• İnternet ortamında kullanılan şifreler ikinci bir kişiye verilmemelidir.
• Alan adı alınacak olan firmanın güvenirliği denetlenmelidir.
• Tahmin edilmesi zor şifreler kullanılmalıdır

Adres satırına yazılan web sayfası çağrıldığında ulaşılan sayfanın dünyanın neresindeki hangi sunucudan hizmet verdiğini bulup kullanıcılara getiren teknolojinin adı Alan Adı Sistemi’dir (Domain Name System (DNS). IP’den isim veya isimden IP çözümlemesi yapan DNS, 256 karaktere kadar büyüyebilen host isimlerini IP’ye çevirmek için kullanılır. DNS’nin ana amacı, internet ağı üzerindeki alan adları veya IP numaraları ile ilgili sorgulamalara yanıt vermektir. DNS sistemi, ana sunucu isimlerine karşılık gelen IP adresi bilgilerini bünyesinden de saklayan isim sunucularından ve DNS istemcileri olan çözümleyicilerden oluşur. Kullanıcılar kısıtlanmadan internet ortamlarında gezinebilmek, kullanılan servis sağlayıcısının sunmuş olduğu internette gezinme hızından daha hızlı bir şekilde gezinebilmek, erişimi engellenmiş sitelere ulaşabilmek amacıyla DNS ayarlarının değiştirilmesi yoluna başvurmaktadırlar. Saldırganlar ve kötücül yazılımların hedeflerinden biri olan DNS’e yapılan en yaygın saldırılar; parmak izi, servis reddi, verileri değiştirme ve yeniden yönlendirme şeklindedir. DNS güvenliğini sağlamak için:

• DNS koruması farklı güvenlik teknolojilerine bağlanmamalı; bunun yerine DNS koruması, DNS sunucusunun içinde oluşturulmalıdır.
• Hangi cihazların ağa bağlı olduğu ve bu cihazları kimin kullandığı bilinmelidir.
• DNS güvenliği DNS altyapısına yapılan saldırıları engelleyecek biçimde olmalıdır.
• DNS güvenliğini tehdit altına alacak durumlar hızla tespit edilebilmelidir.
• DNS hizmetleri ve uygulamaları, ağ saldırı altında iken çalışır durumda olmalıdır.
• DNS sunucusuna sadece yetkisi olan kişilerin erişebilmesi gerekmektedir.
• DNS talep trafiğinin denetlenmesi gerekmektedir.
• DNS sunucuları güncel tutulmalıdır.

Kontrol Panelleri

cPanel (Control Panel), Linux sunucularda web sitesi tasarımcılarının işlemlerini görsel ve etkileşimli olarak yapmalarına olanak tanıyan bir web hosting kontrol paneli uygulamasıdır. Cep telefonu, tablet gibi mobil cihazların kullanımının göze görülür bir şekilde artması ile ortaya çıkan sayfalar arası rahat gezinti yapılabilen uyumlu (responsive) yapıya sahip siteler mobil uyumlu site olarak adlandırılmaktadır. Mobil cihazlara uygun bir şekilde tasarlanan bir web sitenin kontrol paneli kullanılarak şu işlemler yapılabilir: menü ve ekran yerleşimi, site ekran yayılımı, site logosu yükleme, site arka plan özelleştirme, ana sayfa özelleştirme, ana sayfada manşet oluşturma, ana sayfada istenilen içeriğin uygulanması, e-postaların yönetimi, iletişim bilgilerinin düzenlenmesi, istenilen kadar sayfa eklenmesi, genel ayarların yönetimi, sosyal medya hesaplarının tanımlanması, site menüsünü yönetme, yazı karakterlerini ve yazı fontunu belirleme, site içi bağlantıların ayarlanması.

DDOS Koruması

DDOS (Distributed Denial of Service/Dağıtık Hizmet Engelleme), çok sayıda makine üzerinden daha önceden belirlenen hedef bilgisayara saldırı yaparak hedefin kimseye hizmet veremez hâle gelmesini amaçlayan bir saldırı çeşididir. DDOS saldırıları birer bilişim suçu olarak kabul edilmektedir. DDOS saldırılarından hedef makinenin zarar görmemesi için alınabilecek önlemler şu şekilde sıralanabilir:

• DDOS saldırısı sırasında ilk yapılması gereken önlem, saldırının gerçekleştiği IP adreslerinden gelen bağlantı isteklerini reddetmek olmalıdır.
• Hız Sınırlandırması (Rate Limit) adı verilen teknik kullanılarak belirli bir zaman dilimindeki trafik miktarının sınırlandırılması gerekmektedir.
• Çok sık kullanılmamakla birlikte IP engelleme yöntemi de DDOS saldırılarından korunmak için kullanılabilmektedir.
• Rutin bir şekilde ağın genel bakımı yapılarak temel güvenlik önlemi alınmalıdır.
• Ağ kullanıcısı ağın bant genişliğini bilmeli ve normal olamayan durumlar olduğunda bunu önceden fark edebilmelidir.
• (Firewall) gibi güvenlik donanımları kullanılarak gelebilecek saldırılara karşı önlem alınmalıdır.
• Piyasadaki bazı büyük şirketlerin önerdiği DDOS atak önleme hizmetlerinden faydalanmak bu saldırıları önleyebilme noktasında kullanılabilmektedir.

Web Servisleri

Web Servisleri, HTTP protokolü ile XML gönderip alarak iki farklı cihaz arasındaki iletişimi sağlayan bir haberleşme yöntemidir. Web servisler uygulamaların sıkça ihtiyaç duydukları işleri tekrar tekrar yapmak yerine, bu işlemlerin servisler tarafından yapılarak uygulamalardan çağrılması ve Başka platformlarda çalışan uygulamalar ile haberleşerek veri alışverişinde bulunulması için kullanılır. Web servislerinin işleyişleri ise şu şekilde özetlenebilir:

• Web Servisler uygulama bileşenidir.
• Web Servisler açık protokolleri (open protocols) kullanarak haberleşir.
• Web Servisler kendi kendine yetebilen ve kendinden tanımlıdır.
• Web Servisler UDDI (Universal Description Discovery and Integration) kullanılarak keşfedilebilir.
• Web Servisler diğer uygulamalar tarafından kullanılabilir.
• Web Servisler XML temeline dayanır yani XML tabanlı bir teknolojidir.

Web servislerinde kullanılan standartlar; SOAP (Simple Object Access Protokol), UDDI (Universal Description, Discovery and Integration) ve WSDL (Web Services Discription Language). Web servisleri konusunda dünya genelinde kabul gören organizasyonlar; OASIS, W3C, WS-I ve IETF’dır. Genel olarak web servis işleyiş sürecinin güvenlik açısından incelenmesi şu şekildedir:

• Burada ilk aşama güvenlik olarak servis bilgilerini bulunduran dosyalara kimlik doğrulama işlemiyle erişimin kısıtlanması gerçekleştirilmektedir.
• Kimlik doğrulama aşamasından sonraki aşama ise yetkilendirme aşamasıdır.
• İstemcinin yetkilerini sunucu tarafında kontrol ettikten sonra istemcinin güvenliği ve sunucunun güvenilirliği için mesajın kime ait olduğunun tespit edilebilmesini sağlayan imzalama aşamasına geçilir.
• Son aşama ise mesaj içeriğinin şifrelenmesi aşamasıdır. Bu aşamada kullanılan platformun desteklediği yeteneklere göre istenilen formatta mesaj şifrelenebilmektedir.

Web Site Güvenlik Taraması

Web site güvenlik taraması, güvenlik literatüründe yer alan güncel açıkların kullanılan site ağında bulunup bulunmadığına dair yapılan tarama çalışmasıdır. Web sitelerin güvenlik taramalarının gerçekleştirebileceği ücretsiz hizmetlerden bazıları şunlardır:

• Acunetix Online Vulnerability Scanner
• Scan My Server
• Detectify
• Qualys Free Scan
• Sucuri Security