[Owasp-turkey] Onerileriniz

volkan uzun vuzun at csusb.edu
Fri Jun 8 13:44:38 EDT 2007


Selamlar Kaan ( ve diger herkese ) 

Biraz mecburiyetten yapiyorum :-), security officedeki kisiler
californiadaki regulationlari anlatan bir toplanti yaptilar, sanirim 6-7 ay
once bir fbi calisaninin calinan laptopuyla birlikte kaybolan onbinlerce
gazi bilgisinden sonra sartlari iyice abartmislar. Mesela "United States
Department of Health and Human Services" (HIPAA) uygulamakla yukumlu
oldugumuz bir policysi var evlere senlik.

Mesela ilginc policy sartlarini listeleyim  :

 

1.	sisteme giris yapacak kisinin, ileride silinmesi istenirse ( mesela
isten ayrildi/atildi, gorev tanimi degisti vs vs ), bu kisi sistemden
silenemez, sadece tekrar giris yapmasi engellenmeli ki, gecmiste kimler
veriye ulasabiliyordu gorebilelim
2.	sisteme giris yapacak herkes discloure imzalamak zorunda, yeminlen
bisi yapmayacaim gibi bisiler yaziyor.
3.	veritabani yedeklendikten sonra yedeklenen medya nerede saklaniyor 

 

En ilginc olarakta, fax guvenli mekanizma sayiliyor, yani mesela sisteme
giris yapilmasi icin bir gazinin her turlu gizli bilgilerini iceren bir fax
dokumani cekebilirsiniz, fax peer-to-peer sayildigi icin guvenli ortam
olarak varsayiliyor.

 

Ssl konusuna gelince kaan, bizim okulun issue ettigi certifika 128
bytes/1024 bit su anda.

Sizce baska nereye egilmem gerekir ?

 

  _____  

From: Kaan Gunay [mailto:kgunay at gmail.com] 
Sent: Friday, June 08, 2007 10:25 AM
To: volkan uzun
Cc: owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] Onerileriniz

 

Oncelikle eski calisma arkadasimin bu kadar guvenlik odakli bir uygulama
yaziyor olmasi kadar sevindirici bir sey olamaz. 

Bir iki noktada yorum eklemek isterim. Uygulama/veritabani bazinda
ekleyebilecegim birsey yok ama SSL derken kullanilan SSL versiyonuna ve
cipher in min. 128 bit olmasina dikkat etmek lazim. Internet subesi olan
bazi bankalara 40 bit SSL 2.0 ile erisebilmek mumkun.

Sertifika yonetimi ile ilgili bir proses yoksa bunu onceden planlayip
uygulama hayata gectiginde nevcut olmasini saglamak lazim. Bugun
Turkiye'deki buyuk bir banka nisan ayinda expire olmus sertifikasiyla hizmet
vermeye devam ediyor internet subesinde. 

 

 

Kaan
 

On 6/8/07, volkan uzun <vuzun at csusb.edu> wrote: 

Selamlar, 

Uzerinde calistigim bir projede oldukca paranoyak olmak zorundayim; cunku
gazilerin (veterans) bazi kisisel bilgileri ( sosyal sigorta nosunu son  4
hanesi, dogum tarihi, hastaliklari  vs ) tutuluyor. 

Uygulamayi bastan sonra asp.net <http://asp.net/>  2.0, c#, framework 2.0,
sql server 2005 ile gelistiriyorum.

Simdi sizlerden oneri bekliyorum asagida yazdigim guvenlik amaciyla aldigim
onlemler disinda yapilmasi gereken seyler sizce var midir ? 

 

1.	Kullanicilar mutlaka authentication, ve authorization ile sisteme
giris yapiyorlar, bu sistemi .net frameworkun membership provider ile
hallediyorum. Bir admin acilan kullanici hesaplarini onayladiktan sonra
hesaplar kullanilabilir hale geliyor. Sifreler ayda 1 kere kullanim disi
oluyor, ve tekrar sifre yaratilmasi isteniyor. Sifreler hash olarak
tutuluyor 
2.	Yonetici, her kullanici icin, sayfa bazinda hak tanima islemi
yapabiliyor. 
3.	Sisteme her giris/cikis, upload islemi, ve tum kayit silme islemleri
loglaniyor ( bunu cok abartmadim veri tabani cildirmasin diye ) 
4.	web.config'te connection string kismi sifreli. 
5.	Kullanicilarin hassas bilgileri ( hastalik bilgileri, sosyal sigorta
nolari, dogum tarihleri ) simetrik bir anahtarla sifrelendikten sonra
veritabanina kayit ediliyor. Bu simetrik anahtar web.configte tutuluyor,
web.config'in bu kismida sifreleniyor aspnet_regiis ile. Simetrik keyin bir
kopyasi sunucularin bakimi yapan bir kisi tarafindan saklaniyor.Burada
guvenlikten sorumlu bir arkadasimiz, simetrik keyi usb keyde saklamayi, ve
her veri goruntulenmesi icin anahtardan tekrar okunmasini istedi ama
pratikte bu imkansiz. 
6.	veritabaninda henuz yapmadim ama yapmayi dusundugum sql server
2005'in sundugu bir imkan olan, veritabani seviyesinde sifreleme
kullanilacak.. 
7.	Her turlu veri girisi Server.HtmlEncode ile encode yapilarak sisteme
kayit ediliyor. 
8.	Her turlu dosya upload isleminde zip islemi yapiliyor. 
9.	tum sql sorgu islemleri stored procedure kullanildi, dinamik sql
kesinlikle kullanilmadi, veriler veritabanindan cekilirken sadece gerekli
kolonlar cekiliyor. 
10.	web sunucusu ile veri tabani birbirine cross kablo ile bagli ve
aralarinda nat ip adresi var ( bu californiada zorunlu bir uygulama gazi
bilgileri icin ). 
11.	web sunucusu ve veri tabani bu uygulama disinda baska hicbir
uygulamayi barindirmiyor ( bu da baska bir zorunluluk ) 
12.	web sunucusuna calistigim yerin verdigi bir sertifika yuklu ve
sadece (ssl) https:// ile erisime izin var. 
13.	web sunucusuna erisim hakki olan 4 kisinin kullandigi notebooklarda
vpn yuklu, ve vpn ile sisteme girince aldiklari sabit ipler, iis uzerinde
authenticated olan tek ipler. Vpn sifreleri sistem admininin sorumlulugu
altinda 
14.	vpn kullanmadan sisteme giris yok. ( iis authentaticanda geri
cevriliyorlar ) 

 

simdi tek aradigim sey bunlara ekstra olarak, ziplenmis dosyayi nasil
imzalarim, buna digital olarak imza atabilirsem, upload eden kisinin bir
bilgisini imza icine atabilirmiyim ? 

Baska onerdiginiz, acik gordugunuz bir kisim var mi ?

 


_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey

 

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070608/202acb4d/attachment.html 


More information about the Owasp-turkey mailing list