İnternet’te Ne Kadar Güvenliyiz?

İnternet’te Ne Kadar Güvenliyiz?
Bu yazımızda DDoS saldırılarından ve neden, nasıl güvenliğimizi tehdit ettiklerinden bahsedeceğiz.
 
Bilgi güvenliği denilince üç temel ilke akla gelir. Bir sistemde bu üçlüden biri ihlal edilir veya eksik olursa o sistemin güvenliğinden bahsedilemez.  Üç temel ilke şunlardır; gizlilik(Confidentiality), bütünlük (Integrity) , erişilebilirlik(Availability) (CIA).
 
Gizlilik (confidentiality): Bir sisteme veya veriye yetkisi olan kişilerin erişmesi ve yetkisi olmayan kişilerin erişememesidir.
 
Bütünlük (integrity): Bilginin veya sistemin, erişim yetkisi olmayan kişiler tarafından değişmeden doğru kalmasıdır.
 
Erişilebilirlik (avaliability): Yetkisi olan kişilerin erişilmesi istenen sistem veya bilgiye istenilen zamanlarda sürekli erişebilmesidir.
 
DDoS saldırılarını anlamak için öncesinde DoS saldırılarından bahsetmeliyiz. DoS (Denial of Service) saldırı türünde amaç bir servisi, web sitesini veya uygulamayı servis dışı bırakmaktadır. DoS saldırısında, saldırı tek bir kaynaktan (Kaynak IP) gelir. Bu yüzden DoS saldırısını DDoS’a göre nispeten engellemek ve bu saldırılardan korunmak daha kolaydır.
 
DDoS (Distributed Denial of Service) “Dağıtık Hizmet Reddi” olarak türkçeye çevrilebilir. DDoS saldırıları her geçen gün daha karmaşık ve büyük hale gelmektedir. 2018 Şubat’ta GitHub platformuna yapılan saldırı en büyük DDoS saldırısı olarak kayıtlara geçmiştir. Saldırı, 1.3 Tbps (Terabit per second) boyutundaydı*. Neyse ki GitHub’ın DDoS koruması vardı ve yaklaşık 10 dakika içinde saldırı kontrol altına alındı. Fakat dünyanın birçok yerinden bu platformu kullanan milyonlarca kişi ve şirket saldırı boyunca platforma erişemediler. Bu durum GitHub’ın itibar kaybetmesine ve belki de müşteri kaybetmesine sebep oldu.
 
DDoS saldırıları DoS saldırılarına göre biraz daha karmaşıktır. Aynı anda birden fazla saldırgan (yüzerlerce IP) bir sistemi/uygulamayı/web sitesini hedefleyip istek gönderiyor. Bunun için çok sayıda zombi (ele geçirilmiş sistem) içeren büyük BotNet’ler (Örneğin; Mirai) kullanılıyor. Saniyede karşılayabileceğinden daha fazla istek alan hedef sistem yeni isteklere cevap veremez hale gelir. Böylelikle sistemin erişilebilirliği gitmiş olup güvensiz bir sistem hale gelmektedir.
 
İki saldırı türünde de temel amaç, hedefi erişilemez hale getirmektir. Böylelikle hedefe asıl ulaşması gereken kullanıcıların sisteme erişmesi engellenecektir. Artık hemen hemen her sistemin internette olduğunu düşünürsek saldırılara karşı korunmak için önlem almalıyız. Mesela bir alış-veriş sitesini ele alalım. Sitenin bir saat boyunca erişilemez olduğunu düşünün ne kadar maddi ve manevi zarara girecek! Bir saat boyunca satış yapamayacak, müşterilerinin güvenini kaybedecek, belki de müşterilerinin bir kısmını tamamen kaybedecek. Aynı zamanda bu saldırı mevcut sisteme de zarar verebilir.  DDoS saldırının sonuçları beklenilenden çok daha ağır olabilir. Saldırı sonucunda meydana gelebilecek zararları detaylı bir şekilde başka bir yazımızda ele alabiliriz.
 
Peki, saldırılardan korunmak için neler yapmalıyız?
 
Öncelikle kurum ağında gerekli önlemleri almak gerekmektedir. Genelde kurumlar; benim güvenlik duvarım var, bir sıkıntı yaşamayız veya kimse bize saldırmaz diye düşünmektedir.  Maalesef tek başına güvenlik duvarı DDoS’tan korunmaya yetmiyor çünkü güvenlik duvarlarının belirli oturum sayıları vardır ve genellikle DDoS saldırıları karşısında yetersiz kalmaktadırlar. Ayrıca güvenlik duvarı genel olarak OSI referans modelinin taşıma katmanında çalıştığı için daha üst seviyedeki saldırıları engellemekte yetersiz kalmaktadır. Bu yüzden DDoS saldırılarına yönelik özel çözümler kullanılmalıdır.
 
Sadece kendi ağınızda aldığınız önlemler saldırı önlemede yetersiz kalabilir. Farklı tip DDoS saldırıları vardır fakat en çok yapılan saldırı türü bant genişliğini (volumetric attacks) hedef alan saldırılardır. Saldırı sizin iç ağınıza ulaşamaz belki ama size gelen bant genişliğini işgal eder ve müşterilerinizin/kullanıcıların size ulaşmasını engeller. Bu sebeple internet servis sağlayıcısı (ISP) seviyesinde DDoS koruması almak kaçınılmazdır.