EN

TLS 1.3

27 Mart 2019

TLS (Transport Layer Security) , Taşıma Katmanı Güvenliği iki cihaz arasındaki iletişimin güvenli bir şekilde gerçekleştirilmesini sağlayan bir ağ protokolüdür. Aktarılan verilerin kimlik bilgilerini doğrulamak için asimetrik bir şifreleme algoritması kullanır. Verilerin aktarılmasında ki güvenlik sorunlarının aşılması için geliştirilmiştir. “Https://” ile başlayan güvenli web sayfalarının tümü TLS ‘yi barındırır. TLS Netscape’in SSL güvenlik protokolünden evrimleşmiş ve birkaç versiyondan (1.0-1999, 2.0-2006, 3.0-2008) geçmiştir.

TLS 1.3 güvenlik ve hız katmak amacıyla geçen yaz piyasaya sürüldü. TLS 1.3 için geliştirme çalışmalarına 2014’te başlandı ve 2018 Ağustos ayında onaylanmadan önce 28 taslak aldı. Bu süreçte bir çok defa dizayn edildi. Çok fazla ara katman güvenlik kutusu (middleware security boxes) TLS 1.3'ü sıklıkla meydana gelen bağlantı kopmalarından dolayı yürütemedi. Fakat TLS araç kitlerinden biri olan OpenSSL (1.1.1) TLS 1.3'ü destekler niteliktedir.

TLS 1.3 Yenilikleri Nelerdir?

TLS 1.3 iki önemli yenilik getirmiştir. SSL ve TLS’de şimdiye kadar yapılan iyileştirmeler güvenliği arttırdı fakat eski sürümler uyumluluğu sürdürmek için birçok eski bileşen barındırmaktaydı. Bu bileşenler siber saldırganların eski güvenlik açıklarını kullanarak yeni güvenlik önlemlerini atlamasına izin veren yöntemler sunmuştur. Son zamanlarda açıklanan şifreleme açıklıkları olan POODLE, FREAK veya BEAST saldırıları buna örnektir.

Eski sürümlerdeki şifrelerin bazıları kriptografik olarak zayıftı bu nedenle birçok saldırıya karşı savunmasız durumdaydılar (RC4, CBC, SHA1, MD5, vb.). Şifrelerin bazılarının çok fazla güçsüz olmasından dolayı, özel anahtara (RSA staatik anahtarı) erişimin olduğu bir durumda kaydedilen trafiğin şifresinin çözülmesi engellenemiyordu.

TLS 1.2 yeni şifrelerin eski şifrelere tercihinin sağlanabilmesi için şifre tercihlerinin öncelik ayarlarının yapılandırılmasına imkan sağladı fakat birçok kişi bunu yapamadı ve şifrelerin varsayılan sıralamada kalması insanları farkında olmadan savunmasız bıraktı. TLS 1.3 güvenliği düşük olan bu şifreleri daha modern ve güvenli çözümlerle değiştirerek sorunu çözmüştür. TLS 1.3 güvensiz şifrelerin etkinleştirilmesini kısıtlayarak güvenliği büyük oranda sağlamıştır.

İkinci büyük yenilik TLS handshake sürecinin hızlandırılmasıdır. TLS’de şifreleme ve şifre çözme işlemlerinin geleneksel olarak yapılması, fazla CPU ihtiyacına ve gecikme süresinin uzamasına yol açmaktadır. Normal bir TLS 1.2 el sıkışma işleminde(handshake) bile 5-7 paket oluşur bu da gereksiz yük ve gecikme oluşturur. TLS 1.3 handshake için gereken paket sayısını 0-3’e düşürerek hızlı ve hassas bir bağlantı sağlar. Bazı durumlarda TLS oturumu paket alış verişi olmadan gerçekleştirilebilir.

TLS 1.3 yüksek güvenlik sağlamak için yasal olan pasif şifre çözme işlemine izin vermez . MITM aktivitelerini gerçekleştiren cihazlar TLS 1.3 desteklemediği için TLS 1.2 ‘ye geçme zorunda kalındığı durumlarda TLS 1.3 bağlantısı kesilmemelidir. Birçok ağ cihazı bu yöntemi denemektedir . TLS1.2’de maruz kalınan saldırılar göz önünde bulundurulup cihazların TLS 1.3’ü desteklemesi sağlanmalıdır. Aksi durumda TLS 1.3 şifreli trafiği yasal olarak denetleyemez. Bir cihaz sertifikaya bakmak isterse oturumu durdurup bu bilgiyi elde etmek için şifreyi çözmelidir. Bunun için ağ cihazı 1.3’ü desteklemelidir.

SSL/TLS’yi Denetlemenin Faydaları

SSL/TLS’yi denetlemenin en önemli faydası güvenliğin sağlanmasıdır. NSS Lab, herhangi bir kurum trafiğinin trafiğinin gelecek yıla kadar yüzde 70’inin şifreleneceği tahminini yürütüyor. Denetleme yapılmadığında ağ trafiğinin %75’inin NGFW (Next Generation Firewall – Yeni Nesil Güvenlik Duvarı)’den beklenmeyen bir şekilde geçeceği için büyük bir saldırı vektörü açık kalmış olur.

Fortinet’in tehdit raporuna göre tespit edilen ilk 20 istismarın % 20’sinin, kötü amaçlı kodları gizlemek ve verileri çalmak için TLS trafiğini kullandığı belirtildi. TLS trafiğini tehditlere karşı koruyabilmek için aktif olarak TLS denetimi yapacak çözümlere ihtiyaç duyulmaktadır. Denetimin olumlu fayda sağlaması için güvenlik çözümünün TLS 1.3’ü tam olarak desteklemesi gerekmektedir.

KAYNAKLAR

[1] TLS 1.3

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog