Forefront TMG Https Inceleme

HTTPS İnceleme

TMG ile gelen yeni özelliklerden biri olan https inceleme birçok güvenlik duvarının en zayıf noktası olan bir eksikliği ortadan kaldırmaktadır. Birçok güvenlik duvarı yöneticisinin en büyük problemi şifreli kanal olan https in güvenlik duvarları tarafından incelenmeden iletişim sağlaması sebebiyle istemcilerin firma politikalarını kolayca çiğnemelerine sebep olmasıdır. İnternet üzerinde yoğunlukla kullanılan genele açık olan https Proxyleri sayesinde istemciler yasaklı pek çok siteye erişim sağlayabilmektedirler.

SSL ( Secure Socket Layer ) protokolü istemci ile sunucu arasındaki trafiği Sertifikaları kullanarak şifreleyerek güvenliği sağlayan özel bir protokoldür. 

TMG ye kazandırılan Https inceleme özelliği sayesinde TMG sunucunu sertifikasını taklit ederek istemci ile kendisi ve kendisi ile sunucu arasındaki bağlantıyı şifrelemektedir. Bu şekilde TMG üzerinde şifrelemesi açılan Https trafiği kolaylıkla incelenebilmekte ve zararlı içerik tespit edilebilmektedir.

TMG erişilmek istenen sitenin sertifikasını taklit ederken aynı zamanda ulaşılmak istenen sitenin sertifikasının geçerli olduğunu doğrulayarak iletişimin güvenliğini de sağlamaktadır.

Https incelemeyi kullanmadan bilinmesi gerekenler

1.       Https incelemenin uygulandığı kural cache leme özelliğine sahip ise bu trafik TMG üzerinde kayıtlı olacaktır. Önemli verinin disk üzerinde tutulması güvenlik riskleri içermektedir.

2.       TMG nin sahip olduğu sertifika istemcilere kopyalanmalıdır.

3.       TMG küme yapısı ile kullanılıyor ise üye TMG sistemlerin aynı sertifikaya sahip olmaları gerekmektedir.

4.       TMG istemcileri MITM ( Men in the middle ) saldırılarından korumak için Web sunucunun sertifikasını ve istemcinin talebini Windows Crypto API sini kullanarak aşağıda belirtildiği gibi incelemektedir.

a.       İstemcinin talepte bulunduğu URL ile Web sunucunun sertifikasında “ subject “ ve “ subject Alternative names “ alanları birbiriyle uymalıdır.

b.      Sertifika Sunucu kimlik doğrulama için üretilmiş olmalıdır.

c.       Sertifika tarihi geçerli olmalıdır.

d.      Sertifika sağlayıcı geçerli TMG tarafından güvenilir olmalıdır.

e.      CRL (Certificate Revoke List) ulaşılabilir olmalı ve sunucunun sertifikasını içermemelidir.

Https incelemeyi aktif hale getirmek

Https incelemeyi aktif hale getirmek için “ Web Access Policy “ sihirbazı ile yeni kural oluşturmak ya da  “ Tasks “ panelinden “ Configure https inspection “ seçeneklerine ulaşmak gerekmektedir.

“ Configure https inspection “ ile açılan pencerede “ Enable Https inspection “ işaretlenerek https izleme aktif hale getirilebilir.

“ General ” başlıklı bölümde https inceleme aktif hale getirilir ve sertifika ayarları gerçekleştirilebilir.

Enable https inspection: Aşağıda belirtilen ayar ile https inceleme aktif edilmesini sağlayan seçenektir.

Inspect traffic and validate site certificates: Trafiğin incelenmesini ve site sertifikalarının doğrulanmasını sağlar.

Do not inspect traffic, but validate site certificates. Block https traffic if certificate is not valid: Trafiği incelemez fakat site sertifikalarını doğrulamayı sağlar. Aynı zamanda sertifika geçerli değilse trafiği engeller.

Use Forefront TMG to generate a certificate: TMG nin https inceleme yapabilmesi için gerekli olan sertifikanın oluşturulmasını sağlamaktadır.

“ Generate Certificate Now “ seçeneği ile sertifika oluşturulmalıdır. Sertifika oluşturulmadan TMG https inceleme özelliği çalışmayacaktır. “ Expiration “ bölümünde sertifika için kullanım süresi belirtilebilmektedir. “ Never “ seçeneğinin işaretli olması sertifikayı 39 yıl kullanılmak üzere hazırlamaktadır.

Sertifika oluşturma adımı tamamlandıktan sonra oluşturulan sertifika bilgilerine “ Https inspection trusted root CA Certificate options ” butonunda ulaşılabilir.

View Certificate Details: Oluşturulan sertifikanın detaylarının görüntülenmesini sağlamaktadır.

Automaticaly through Active Directory ( recommended ): Sertifikanın etkialanı ile dağıtılmasını sağlamaktadır. TMG etki alanı üyesi ise bu seçenek sayesinden istemcilerin TMG sunucunun sertifikasına güvenmesi kolayca sağlanabilmektedir.

Manually on Each client computer:  Manuel olarak sertifikanın istemcilere kopyalanacağını belirtmektedir. ” .Cer “ uzantısı ile sistemden alınan sertifika istemcilere kopyalanmalıdır.

“ Export to File  “ ile sertifikanın  kaydedilmesi sağlanmaktadır.

Destination Exceptions: Belirtilen sitelerin https inceleme dışında kalmasını sağlayan bölümdür.

Varsayılan olarak ekli olan siteler Microsoft.com, Windows.com ve windowsupdate.com dur. “  Add “ butonunu kullanarak yeni siteler eklenebilir.

Source Exceptions: Belirtilen kaynakların trafiğinin https izlemeye takılmamasını sağlamaktadır.

Certificate Validation: Sertifika doğrulama ile ilgili seçeneklerin olduğu bölümdür.

Block expired certificate after (days): Kullanım zamanı üzerinden belirtilen gün kadar geçtikten sonra iletişimi engellenmesini sağlamaktadır.

Block server certificates that are not yet valid: Henüz geçerli olmayan sertifikaları engelle.
Check for server certificate revocation: Sertifika iptal listelerinin kontrol edilmesini sağlamaktadır. Sertifika sağlayıcıları bu listeleri yayınlarlar TMG bu listeleri okuyarak iptal edilen sertifikalardan bilgi sahibi olabilir.

“ Client Notification “ başlığı istemcilere https trafiğinin incelendiğinin bildirilmesini sağlamaktadır.

Https inceleme için gerekli ayarlar yapıldıktan sonra TMG istemci türü olarak ayarlanan istemci sisteminden Https erişim kurulmaya çalışıldığında web sitesinin sertifikasının güvensiz olduğu mesajı görüntülenecektir.

 “ Bu web sitesinde devam et (önerilmez) “ tıklandığında web sitesine erişim sağlanacak fakat bu kullanıcılar için rahatsız edici bir durum haline dönüşecektir. Bu hata mesajının sebebi TMG sunucuda oluşturulan sertifikanın istemci tarafından güvensiz olarak görülmesidir.

Https inceleme aktif hale getirildiğinde oluşan sertifikayave https inceleme kapalı iken gelen sertifikayı karşılaştırmamız gerekirse iki sertifika arasında fark TMG nin istemci tarafında “ Güvenilir Sertifika Yetkilileri “ listesinde olmamasıdır.

TMG den “ Export “ alınan sertifikanın istemci sertifikalarına eklendiği takdirde bu hata mesajı ortadan kalkacaktır.

İstemcide “ Başlat “ menüsünde bulunan arama çubuğundan “ mmc.exe “ yi çalıştırarak TMG sertifikasının “ import ” eklenmesini sağlanmalıdır.

Açılan “ MMC “ konsolundan “ Dosya > Ek Bileşen Ekle / Kaldır “ seçimi yapılarak açılan pencereden “ Sertifikalar > Kullanıcı hesabım “ seçilir.

Geçerli kullanıcının sertifikalarının görüntülenmesinden sonra “ Güvenilen Kök sertifika Yetkilileri >Sertifikalar > Al “ ile TMG den alınan sertifika bu bölüme eklenir.

Bu aşamadan sonra istemciler TMG nin ürettiği sertifikalara güven duyacağından iletişim kurulan Https (SSL ) sitelerde herhangi bir sertifika hatası almayacaklardır.

Özellikle kurumsal yapılarda kullanıcı ve bilgisayarlara TMG de üretilen sertifikanın yüklenmesi büyük zaman kaybına ve olası problemlere sebep olacaktır. TMG etki alanı yapısı içinde çalışıyor ise CA (Certification Authority) kurularak sertifikanın istemcilere otomatik olarak gönderilmesi sağlanabilir. 

Devamı>>

SSH tünel içinden RDP / RDP Over SSH

Güvenli olmayan bir networkten iş yerinizdeki yada evinizdeki sisteminize uzak masaüstü yapmak istiyor iseniz. Yada Ulaşmak istediğiniz networkte sadece SSH servisi çalışıyor ise ve içeri uzak masaüstü bağlantısı yapmak istiyor iseniz SSH tüneli içinden RDP protokolünün nasıl iletileceğini aşağıdaki makalede bulabilirsiniz.

Yukarıdaki yapıdaki gibi ev den Firma içindeki bir RDP sunucuya SSH portu üzerinden tünel oluşturarak erişmeye çalışmak için öncelikle bir SSH istemcisine ihtiyaç olacaktır. Bunun için Putty tercih edilebilir.

Ssh Tünelleme Putty için ayarlar :

1. Sol taraftaki menüde "Session" seçili iken. Host name alanına uzak SSH hizmeti veren Firewall yada sistem IP adresi girilir Port bölümüne ise SSH servisinin çalıştığı port belirtilir genelde 22 dir.

2. Bağlantıyı başlatmadan önce SSH tüneli içinden RDP bağlantısını yönlendirilmesini sağlamak için gerekli ayarlar yapılmalıdır. Sol tarafta bulunan SSH menüsü altından " Tunnels " başlığı seçili ve Source Port " 3391" Destination " 10.0.0.2:3389" olarak belirtilir altta bulunan seçimlerde port türlerinin Local ve Auto olarak kalması gerekmektedir. Bu yapılandırma ile yerel sistemimizin 3391 nolu portuna bağlantı geldiğinde Uzak networkte bulunan 10.0.0.2 makinasının 3389 portuna bağlantıyı yönlendirmiş olduk. Yani yerel 3391 portumuz artık şirketimizde bulunan 10.0.0.2 makinasına açılan bir kapı oldu. Bu ayardan sonra " Open " butonu ile kullanıcı adı ve şifre bilgileri girilerek bağlantı başlatılır

3. Bağlantı için "mstsc" yi açarak kendi yerel IP adresimizin 3391 portuna uzak masaüstü bağlantısı başlatarak uzak networkteki 10.0.0.2 makinasına RDP protokolü ile erişebiliriz.

RDP örneğine benzer olara diğer çoğu protokolü SSH üzerinden taşımak mümkün.

Devamı>>

Bilisimin Karanlık Yüzü 3. Baskı

" Bilişimin Karanlık Yüzü " adlı kitabımızın 3. Baskısı çıktı .

Bilişim Güvenliği üzerine hala en büyük Türkçe kaynak olan kitap içeriği aşağıdaki gibidir.

Kitapta Yer Alan Konular

"Bilgi Toplama Yöntemleri
"Sistemlere Giriş Yöntemleri
"Virüsler, Wormler ve Trojanlar
"Network Paket Kaydedicileri
"Sosyal Mühendislik
"DOS (Denial Of Service)
"Web Sunuculara Giriş
"Web Tabanlı Şifre Kırma Yöntemleri
"SQL Enjeksiyon
"Kablosuz Networkler
"Fiziksel Güvenlik
"Linux
"IDS, Güvenlik Duvarı ve Honeypotlar
"Kriptografi
"Sızma Testleri (Penetration Testing)
"Exploit

Kitabın indeksine ulaşmak için Tıklayınız.

Kitap aşağıdaki adreslerden temin edilebilir.

İdefix
D&R
Hepsiburada.com
Kitapyurdu

Devamı>>

Sosyal Mühendislik (Social Engineering)

Sosyal Mühendislik etkileme ve ikna etme yöntemlerini kullanarak kurbandan bilgi alma ya da istenilen işleri yapmasını sağlamaktır.
Sosyal mühendislik bir network’e girmek için en zayıf unsur olan insan zayıflığını kullanmaktır. Genelde güvenlik zincirinin en zayıf halkası olarak adlandırılan insan unsuru network filtreleme cihazları, anti virüs yazılımları ve tüm güvenlik sağlama yöntemlerine rağmen en büyük tehlikelerden biridir.
Temel olarak insan doğasında bulunan güven, korku ve yardım etme duygularının kullanılması ile gerçekleştirilen bir saldırı türüdür.
Genelde bu saldırılarda tercih edilen kişiler;

Yardıma ihtiyaç duyan kişiler
Herkese güvenme eğilimindeki kişiler
Başının derde girmesinden korkan kişiler

Sosyal mühendislik savunulması en güç saldırı biçimidir, çünkü donanım ya da yazılım ile savunulması mümkün değildir.
Başarılı savunma iyi kuralların oluşturulması, çalışanların periyodik bir şekilde eğitilmesi ve herkesin kurallara uyması ile sağlanmaktadır.

Sosyal Mühendislik Çeşitleri

Sosyal mühendislik saldırıları iki şekilde uygulanabilir.
1. İnsan Tabanlı
2. Bilgisayar Tabanlı
Bu makalede sadece insan tabanlı sosyal mühendisliğe değinilecektir.

İnsan Tabanlı Sosyal Mühendislik

İnsani ilişkiler kurarak istenilen bilgiye ulaşmaktır.
Öncelikle İnsan tabanlı sosyal mühendisliğin en önemli bireyleri olan iletişim ve ikna kelimelerinin tanımlamalarına bakmamızda fayda var.

İletişim insanların birbirlerini etkileme ve birbirlerinden etkilenme yoludur (Krauss ve Fussell). 

İletişim sürecinin amacına odaklanarak yapılan bu ve benzeri birçok tanımda, iletişimin temel işlevinin “hedef üzerinde belirli bir etki yaratmak” olduğu vurgulanmaktadır.

İkna bir bireyin etkisiyle birey ya da bireylerin biliş, tutum ya da davranışlarında değişiklik yaratılmasıdır (Raven ve Haley).

İkna Teknikleri

Aşağıda belirtilen ikna teknikleri sıklıkla satış personellerini eğitim amaçlı kullanılan bir içerikten alınmıştır, aynı zamanda saldırganlar tarafından izlenen ikna yöntemlerini daha iyi anlamamızı sağlayacağından burada bahsetmemizde fayda olacaktır.

• Önce küçük sonra büyük rica tekniği
• Önce büyük sonra küçük rica tekniği
• Gitgide artan ricalar tekniği
• Sadece o değil tekniği
• Evet- evet tekniği
• Acaba” değil “hangi” tekniği
• Soruya soruyla yanıt verme tekniği
• Yer etme tekniği
• Borca sokma tekniği

Kısaca bu tekniklerden bahsetmemiz gerekirse;

Önce küçük sonra büyük rica tekniği;

İkna tekniklerinden biri olan bu teknikte kaynak hedeften önce küçücük, onu zora sokmayacak, kabul edilme olasılığı yüksek bir talepte bulunur. Ardından da adım adım daha büyük taleplerde bulunma yolunda ilerler.

Önce Büyük sonra küçük rica tekniği;

Bu ikna etme tekniğinde süreç, hedeften yüksek ve sonuç olarak da reddedilme olasılığı çok yüksek olan bir talepte bulunup, ardından beklentiyi düşürerek hedefi razı etme şeklinde işler.

Gitgide artan ricalar tekniği;

Hedefe önce kabul edilebilir bir öneri sunulur, ardından da evet diyeceği noktaya kadar öneri adım adım büyütülür. Örnek olarak fiyatı cazip olarak görünen bir ürünü hedefe cazip kılmak ve içeriye çektikten sonra ürün üzerinde ekstra özellikler ve vergi gibi farklar eklenerek satılması verilebilir.

Sadece o değil tekniği;

Önce küçük sonra büyük rica tekniğinde olduğu gibi karşılıklılık ilkesi vardır; birisi sizin için bir iyilik yaptığında, indirime ya da hediye verme yoluna gittiğinde, siz de onun iyilikseverliğine karşılık verme yönünde bir sorumluluk hissedersiniz, bahsedilen bu insan özelliğini kullanan bir ikna yöntemidir.

Evet- evet tekniği;

Hedefe üst üste evet yanıtı verme olasılığı yüksek olan sorular sorulur ve asıl talep en sona bırakılır.
Acaba” değil “hangi” tekniği;
Hedefe herhangi bir ürüne gereksinim duyup duymadığı ya da herhangi bir konu hakkında seçim yapmak isteyip istemediği sorulmadan, doğrudan seçenekler sunulur ve bir anlamda emrivaki yapılarak içlerinden birini seçmesi beklenir. Örnek vermek gerekirse “ Seninle görüşmek istiyorum Çarşamba mı Perşembemi görüşelim?”

Soruya soruyla yanıt verme tekniği;

İkna süreci her zaman kaynağın hedeflediği gibi işlemez. Kimi zaman tıkanıp kalan kaynak kişi ya da kişiler, zaman kazanmaya gereksinim duyarlar. Soruya soruyla yanıt verme tekniği bu aşamada devreye girer. Örnek vermemiz gerekirse “Böyle düşündüğüm kanısına nereden vardınız?” ya da “Siz bu konuda ne düşünüyorsunuz?”gibi sorular zaman kazanmayı sağlayacaktır.

Yer etme tekniği;

Reklamlarda sıklıkla başvurulan yer etme tekniğinde, beş duyudan en az birine hitap ederek hedefin zihninde yer etmek hedeflenmektedir. Örneğin yiyecek reklamlarında “sıcacık çorba”, “kıpkırmızı domates”, “çıtır çıtır patates” gibi vurgularla bu amaca ulaşılır. Bu tekniğin etkisi daha çok algısal çağrışımla açıklanmaktadır. “Kıpkırmızı”, “buz gibi” olmakla, “mis gibi” kokmakla bir ürünü eşleştirdiğimizde, çağrışım yoluyla ürüne ilişkin her yeni bilgide bu ayrıntıları, bu nitelendirmelerde de her zaman ürünü hatırlarız.

Borca sokma tekniği;

Karşılıklılık ilkesine göre (Cialdini, 1975) karşımızdaki birey bizim için birçok zahmete girer, emek harcarsa kendimizi borçlu hissetmeye başlarız. Aramızdaki eşitlik, denge bozulur ve bunu telafi etmek için ne gerekiyorsa yapmaya hazır hale geliriz. Bunun bilincinde olanlar da amaçlarına ulaşmak için hedefe bu dengesizliği hissettirip borçluluk duygusu uyandırmak için, onun talebi olmaksızın çaba harcarlar. Örnek olarak peşinizde gezip birçok ürün öneren satıcıya karşı emeğinden dolayı kendinizi borçlu hissedersiniz

Saldırgan iletişim ve ikna kabiliyetini kullanarak hedef sistem içinde yer alan kullanıcılardan gözüne kestirdiklerinden bilgi almaya çalışacaktır. Kurbanların seçilmesi konusunda sosyal paylaşım siteleri ona ihtiyacı olduğundan fazla bilgi sağlayabilir.

İnsan Tabanlı Sosyal mühendislik saldırıları aşağıdaki gibi kategorize edilebilir.

Son kullanıcıymış gibi davranma
Önemli bir kullanıcıymış gibi davranma
Teknik Destek
Çöpleri Kurcalama
Omuz üstünden bakmak

Son kullanıcıymış gibi davranma

Bilgi İşlem Departmanının ve içeride çalışan herhangi bir kullanıcının bilgilerine sahip bir saldırgan Bilgi İşlemi arar;
Hacker: Merhabalar, Ben Ahmet, Muhasebe Departmanından Şifremi unuttum, Acil olarak patronun beklediği evrakları hazırlamam gerekiyor, Şifremi alabilir miyim?

Önemli Bir kullanıcıymış gibi davranma

Bilgi İşlem Departmanının numarasını ve şirket üst düzey yöneticilerinden birinin ismini ve görevini bilen saldırgan Bilgi İşlemi arar;
Hacker: Merhaba, Ben Ali, Genel müdür asistanı, Acil bir proje üzerinde çalışıyorum, Şifremi unuttum bana yardım etmelisin.

Teknik Destek

Herhangi bir kullanıcının ismini bilen saldırgan Teknik birim’den arıyormuş gibi davranarak kullanıcının bilgilerini talep eder.
Hacker: Merhabalar Ben Teknik Departmandan arıyorum, dün akşam sistemlerimizde oluşan bir arıza yüzünden veri kaybı yaşayıp yaşamadığınızı test ediyoruz, Kullanıcı adı ve şifrenizi almalıyım?

Çöpleri Kurcalama ( Dumpster Diving )

Saldırgan hedef hakkında bilgi toplamak ve hedefin verilerine ulaşmak için çöpleri kontrol edebilir. Hedef hakkında muhasebe verisi, fotokopi belgeler, iletişim adresleri ve kullanıcıların % 60’ ının şifrelerini unutmamak için kağıtlara yazdığını düşünürsek saldırı aşamasında kullanabileceği pek çok veriye ulaşabilir.

Omuz Üstünden Bakmak ( Shoulder Surfing )

Omuz üstünden bakmak adıyla adlandırılan sosyal mühendislik saldırı yöntemi kullanıcının şifre veya oturum bilgisinin arkasından ya da başka bir yerden izlenerek ele geçirilmesi ya da bilgi sahibi olunmasıdır. Microsoft özellikle güvenlik eğitimlerinde bu tarz saldırılara karşı korunmak adına klavye ve monitörlerin pencere kenarlarında yer almasının engellenmesi gereğinden bahsetmektedir.

Kaynaklar: Bilişimin Karanlık Yüzü ,

http://www.ilet.gazi.edu.tr/iletisim_dergi/19/ icindekiler.htm

Devamı>>

Bilisim Güvenligi Adımları

Bilişim Güvenliği Tanımı

“Güvenlik” iyi durumdaki bilgi ve yapının hırsızlık, veri değişikliği, bilgiyi bozma, servislerin açıklarına karşı korumasını sağlamaktır.

Bilişim Güvenliği Gizliliğe, Orijinalliğe, Güvenilirliğe ve Kullanılabilirliğe dayanır.
1. Gizlilik: Bilgi ya da kaynakların gizlenmesi
2. Orijinallik: Bilginin kaynağından emin olmaktır.
3. Güvenilirlik: Veri ya da kaynağın uygunsuz ya da yetkisizce değiştirilmediğinden emin olmaktır.
4. Kullanılabilirlik: İstenildiği zaman veri ve kaynakların ulaşılabilir durumda olmasıdır.

Bilişim Güvenliğini sağlamada dikkat edilmesi gerekenler

1. Genele açık bilgilerin kontrol altına alınması

• Kurumsal e-posta kullanımının kapsamlarının belirlenmesi ve e-posta güvenliğinin sağlanması.
• DNS, E-posta vb internete açık sistemlerin verebildiği bilgilerin kontrolü ve güvenliğinin sağlanması.
• Kariyer ilanlarının dışarıya verebileceği bilginin belirlenmesi.

2. İnternete açık olan saldırı yüzeyinin daraltılması

• İnternete çıkış noktalarının minimum da tutulması 

• İnternet üzerinden erişime açık sistemlerin bilgi verme seviyelerinin kontrolü.

• Kurumun internete çıkışının tek noktadan yönetilmesi.

• İnternet üzerinden erişimi açık sistemlerin güncellemelerinin ve gereksiz servislerinin takip edilmesi.

• Port tarama ve diğer benzer saldırılara karşı güvenlik duvarı ve IDS, IPS sistemlerinin yapılandırılması ve ilke kontrollerinin sağlanması

3.  Çalışanların internet erişimlerinin kontrol altına alınması

• Çalışanların internet erişimlerinin politikalarının dışına çıkıp çıkmadıklarının kontrolü.
• Zararlı yazılımlarının yerel sistemler için erişilebilir olup olmadıklarının kontrolü.
• 3g ve GSM gibi kontrolsüz internet erişimi sağlayabilecek sistemlerin kontrolü.

4. Yetki kontrolleri

• Kurum çalışanlarının yetkileri dışında yaptıkların yada yapmaya çalıştıkları eylemlerin takip edilmesi.
• Önemli veriye erişim için tanımlanmış olan ilkelerin gerçekten uygulanıp uygulanmadığının doğrulanması.
• Önemli verinin yetkisizce dışarıya çıkarılıp çıkarılamadığının kontrolleri.
• Denetlemeler ile çalışanların yaptıkları eylemlerin kayıt altına alınması.

5. Güvenlik uygulamalarının kontrolleri

• Kurum çalışanlarının güvenliği sağlama için kullanılan anti virüs ve anti spam yazılımlarının çalışırlığının test edilmesi.

6. Ağ Güvenliğinin Sağlanması

• Yerel ağda kullanılan iletişimin güvenli hale getirilmesinin sağlanması. (Şifreleme)
• Ağ üzerinde şifreleri çalmak için kullanılabilecek uygulamalarının sistemlere kurulumunun engellenmesi.,
• Kurum çalışanlarının sistemlerinde yapılabilecek fiziksel adres (MAC) değişimlerinin kontrolü

7. Çalışanların Bilgi Güvenliği konularında eğitimi

• Periyodik eğitimler ile bilgi güvenliği konularında çalışanları eğitiminin sağlanması.
• Erişim sağlanacak verinin belirlenmesi ve çalışanlara belirtilmesi.
• Yapılan eğitimler sonunda çalışanlara toplantılara katıldıklarına ve verilen bilgilerin anlaşıldığına dair imza alınması.
• Yeni İşe giren personelin yapılacak anlaşma dahilinde Bilgi güvenliği konularından haberdar edilmesinin sağlanması.
• Sistemlerin oturum açma sırasında uyarı mesajları ile kullanıcılara hatırlatmalarda bulunmasının sağlanması.

8. Web Uygulamalarının test edilmesi

• İnternete  açık ve intranette kullanılan web uygulamalarının periyodik olarak testlerinin gerçekleştirilmesi ve yeni bulunan zayıflıklara karşı korunmasının sağlanması.
• Web uygulamalarının zayıflık tarayıcı uygulamalar ile periyodik olarak taranması sonucu raporların kontrol edilmesi.

9. Kablosuz Ağ Güvenliği

• Ağ' a girişin en kolay yolu olan kablosuz ağların güvenliklerinin kontrolleri.
• Kablosuz ağ şifrelerinin periyodik olarak değiştirilmesi.

10. Fiziksel Güvenlik

• Sunucu odası ve yedekleme ünitelerinin bulunduğu konumlara girişin korunması.
• Özel sistemlere ve odalara girişin biometrik cihazlar ile korunmasının sağlanması.
• Taşınabilir olan (Laptop , Palm , PDA ) cihazların çalınmaya karşı testlerinin yapılması.
• Kablo lama hatalarından doğabilecek güvenlik zaafiyetlerinin kontrollerinin yapılması.
• Yedekleme ve geri dönme çalışmalarının gerçekleştirilmesi.

11. Bilişim güvenliği yardımcı yazılımlarının kullanılması

• Önemli verinin dışarı aktarılmasını önlemek için DLP (Data Loss Prevention) uygulamalarının yardımı.
• Filtreleme, kayıt altına alma ve Saldırılardan haberdar olmak için Güvenlik Duvarı, IDS ve IPS uygulamalarının yardımı.
• Ağ anormalliklerinin tespiti kolaylaştırmak için Ağ izleme yazılımlarının yardımı.

12. Güvenlik Testleri

• Sistem üzerinde olabilecek zafiyetleri tespit etmek adına periyodik olarak güvenlik testlerinin gerçekleştirilmesi sağlanmalıdır.

Devamı>>

TMG Site To Site VPN

TMG de L2TP ile Site to Site VPN Yapılandırması

VPN kullanım senaryolarına bakıldığında VPN sadece istemcilerin uzak ağlara bağlanmasını sağlamakla kalmayarak iki uzak ağın da birbirine bağlanmasını sağlamak üzere uygulanabilmektedir.

Bununla beraber VPN kurumsal ağlarda merkez ve şubeler gibi farklı ağların birbirine bağlanmasını (Site to Site) sağlamaktadır. Bu şekilde uzak ağlar VPN protokolünün güvenliği ile sanki aynı ağ da gibi çalışabilmekte ve aradaki trafik tamamen şifreli olarak aktarılmaktadır.

“Bursa” ve “Ankara” bölgeleri farklı konumda bulunmaktadır. İki ağdada bulunan TMG sunucular sayesinde bu ağların VPN ile birleştirilmesi ve iletişimin yönetilmesi mümkündür.

Site to Site VPN aynı protokol desteğine sahip TMG sunucular ve 3. Parti uygulama ve donanımlar arasında gerçekleştirilebilmektedir.

Site to Site VPN için kullanılan üç adet protokol bulunmaktadır.

1. PPTP: ISA 2000, 2004, 2006, TMG ya da Windows VPN sunucusu arasında VPN bağlantısının kurulmasını sağlamak-tadır. Oluşturulması en kolay olan VPN türüdür. Orta düzey güvenlik sağlamaktadır.

2. L2TP: ISA 2000, 2004, 2006, TMG ya da Windows VPN sunucusu arasında VPN bağlantısının kurulmasını sağlamak-tadır. PPTP ye göre üst düzey güvenlik sağlar, bunun sebebi IpSec şifreleme kullanmasıdır. IpSEC protokolünün perfor-mans problemleri uygulanmadan gözden geçirilmelidir.

3. IpSEC (Tünel Mod ile ): 3. Parti uygulama ve donanımlar ile Site to Site VPN yapılacaksa kullanılması gereken proto-koldür.

L2TP ile Site to Site VPN Yapılandırması

Aşağıdaki resimde görüntülenen iki ağın VPN ile birbirlerine erişimi sağlamak adına “Bursa” şubesinde bulunan TMG_BRS sunucusunda yapılması gereken işlem adımlarını bu bölümde bulabilirsiniz.

“Bursa” şubesinden “Ankara” ya L2TP VPN bağlantısı kurmak için aşağıdaki adımları takip ediniz.
Öncelikle TMG konsolundan “Remote Access Policy ( VPN )” başlığında bulunan “Remote Sites” tabına ulaşılmalıdır.

“Remote Sites” başlığı altından ya da sağda bulunan “Tasks” panelinden “Create VPN Site-to-Site Connection” ile sihirbaza ulaşmak mümkündür.

“Create Site-to Site Connection” sihirbazında ağ adı olarak “Bursa_Ankara” tanımlıyoruz.

Önemli: TMG yapılandırma sihirbazlarında tanım dışında bir anlam ifade etmeyen bu alan Site to Site kurulumda büyük öneme sahiptir. Hatta Site to Site kurulumun püf noktası olarak adlandırılabilen bu alan da yazan isim ile sistemde aynı isimde bir hesap oluşturulmalıdır. Eğer ağ adı ve kullanıcı adı birbirlerinden farklı isimlere sahip ise ise Site-to-Site VPN çalışmayacaktır.

Bu aşamada sihirbazı TMG_BRS sunucusunda bu kullanıcı hesabı oluşturulmalıdır. Bunun için “Server Manager > Configuration > Local users & Computers” dan “Bursa_Ankara” adında bir hesap oluşturuyoruz.

Eğer TMG sunucu Etki alanı üyesi ise bu hesap “Active Direc-tory Users & Computers” dan oluşturulabilir.  “ Password never expires “ seçeneğini işaretleyerek 42 gün sonra şifrenin tekrar ve-rilmesi gerekliliğinden VPN bağlantımızı koruyabiliriz. Bu hesap VPN bağlantımızı sağlayacağından başka bir işlem için kullanılma-malıdır. Oluşturulan bu hesabın “Dial-in” tabında “Allow Access” seçeneği ile VPN erişim yetkisine sahip olması gerekmektedir.

Kullanıcı hesabını oluşturduktan sonra “Create Site-to Site Con-nection” sihirbazına kaldığımız yerden devam edebiliriz.

“VPN Protocol” başlıklı sihirbaz adımı ile kullanılacak protokol olan “L2TP” seçilerek devam edilir. “Next” butonuna tıklandığında ağ adı ile kullanıcı adının aynı olması gerektiği ile ilgili mesaj görüntülenmektedir. Bu uyarı mesajını “OK” butonu ile kapatıp sihirbaza devam ediyoruz.

“Local Network VPN Settings” başlıklı bölüm uzak ağdan gelen istemcilere verilecek IP aralığını tanımlanmasını sağlamaktadır. Daha önce Client to Site VPN tanımında belirttiğimiz aralığın bu alanda otomatik olarak geldiğini görmekteyiz. Eğer bu tanım yapılmadıysa TMG üzerinde herhangi bir ağa tanımlanmamış olan bir IP aralığı “Add” butonu ile eklenebilir.

Statik IP havuzu yerine DHCP sunucu kullanımı için DHCP de VPN istemciler için özel “Scope” oluşturulmalıdır.

“Remote Site VPN Server” başlığı ile uzak ağdaki sunucunun IP adresi tanımlanmalıdır. “Ankara” da bulunan TMG sunucunun in-ternet üzerinden erişilebilir IP si olan “87.86.85.84” ü bu alana ekliyoruz.

Bu noktada göz ardı edilmemesi gereken konu eğer TMG sunucular önünde modem ya da NAT yapan herhangi bir donanım mevcut ise VPN protokollerinin geçişine izin verilmelidir. Bu protokolleri kullandığı portlar seçimi yapılan VPN protokolüne göre değişmektedir.

“Remote Authentication” başlıklı sihirbaz adımı Bursa ağında bulunan TMG sunucunun Ankara ya VPN bağlantısı kurmak için ihtiyaç duyulan kullanıcı hesabının belirlenmesini sağlar.

Uzak ağ da bulunan TMG sunucu etki alanı üyesi ise “Domain” kutusunda Etki alanı belirtilmelidir. Ankara da ki sunucuda tama-men yukarıda bahsedilen işlem adımları gerçekleştirileceğinden “Bursa_Ankara” adlı kullanıcı hesabı ve ağı Ankara da bulunan TMG sunucu dada oluşturulmalıdır.

“L2TP / IPSEC Outgoing Authentication” başlık sayfa giden kimlik doğrulama isteklerinin nasıl sağlanacağını belirler.

Certificate Authentication: Eğer bu seçim gerçekleştirilir ise iki TMG sunucuda aynı sertifika sağlayıcısı tarafından verilmiş dijital sertifikalar bulunmalıdır.

Pre-shared key: Önceden paylaşılan anahtar herhangi bir şifre ile kimlik doğrulaması sağlanır. Yukarıdaki resimde görüntülenen örnekte “Pre-Shared key” seçimi yapılmış ve şifre olarak “sifre” metni belirtilmiştir.

“Incoming L2TP / IPSEC Authentication” adımında gelen kimlik doğrulama isteklerinin nasıl karşılanacağını belirleyen bölümdür.

Örneğimizde bu alanda da “Allow pre-shared key authentica-tion for incoming L2TP connections” seçimi yapılarak “sifre” metni tanımlanmıştır.

“Network Adresses” başlığı uzak ağın IP aralığını belirtmeyi sağlayan sihirbaz adımıdır.

“Add Range” butonu ile Ankara ağının IP aralığı olan “13.0.0.0 – 13.0.0.255” tanımlanır. Bu giriş sayesinde TMG yönlendirme tablosunu günceller ve bu aralığa bir talep gitmek istediğinde VPN bağlantısı üzerinden gönderir.

“Remote NLB” ile uzak sunucuda NLB (Network Load Balancing) aktif ise IP adreslerinin girilmesi sağlanır.

Örneğimizde “The remote site is enabled for Network Load Balancing” işareti kaldırılarak bu özellik devre dışı bırakılmıştır.

“Site-to-Site Network Rule” ile Site to site VPN ile erişim sağlayan uzak ağda bulunan istemcilerin iç ağa yönlendirilmesini sağlayan Ağ kuralı oluşturulur.

“Add” butonu sayesinde VPN istemcilerin TMG üzerinde tanımlı diğer ağlara da yönlendirilmesi sağlanmaktadır.

I 'll create a network rule later: Seçimi ise daha sonra elle kuralı oluşturacağımızı TMG ye belirtmeyi sağlar.

“Site-to-Site Network Access Rule” ile VPN ile erişim sağlayacak istemcilerin iç ağa hangi protokolleri kullanarak erişim sağlayacakları belirlenir.

Yukarıdaki örnekte “Ankara” ağından gelen istemcilerin “DNS, http, https ve RDP” protokolleri ile geçişine izin verilmiştir. “Add” butonu ile izin verilecek protokoller belirlenebilir. “Apply the rule to these protocols” başlığı altından “All outbound traffic” seçilerek tüm protokollerin geçişine izin verilebilmektedir.

İşlem adımları tamamlandıktan sonra son ekranda “Finish” butonu ile RRAS servisinin yeniden başlatılacağı mesajına “Ok” tıklayarak sihirbaz tamamlanır.

Sihirbaz adımlarının tamamlanması ile “Remote Sites” başlığı altında “Bursa_Ankara” adlı tanım oluşturulmuştur.

Bununla beraber “Networks” başlıklı bölümde “Bursa_Ankara” ağ tanımı sihirbaz sayesinde oluşturulmuş ve “Network Rules” ile “Bursa_Ankara” ağının iç ağa erişimi “Route” ile sağlanmıştır.

VPN istemcilerinin iç ağa hangi protokoller ile erişeceklerini sağla-yan kural ise “Firewall Policy” de bulunmaktadır.

Anakarada bulunan istemcilerin iç ağa erişimini sağlayan bu kural “Allow Access between Bursa_Ankara and Internal” adı ile oluşturulmuştur. Bu kural özelliklerinden belirtilen protokoller de eklenerek destek sağlanabilmektedir.

Site-to-Site VPN de göz ardı edilmemesi gerekenler

İki sunucudaki ayarların eşleşmesi: Yukarıdaki işlem adımları tamamen iki sunucu dada yapılması gereken işlemlerdir. Herhangi birinde yapılacak hata VPN erişimini engelleyecektir.

Ağ Adı ile kullanıcı hesap adının aynı olması: Site-to-Site ileti-şimin en önemli ayrıntısı olan bu konuya iki sunucuda da önem göstermek gerekmektedir. Kullanıcı adı, Ağ adı ile mutlaka aynı olmalıdır.

İstemcilerde yönlendirme sorunu: Eğer iki ağdada bulunan kul-lanıcılar TMG yi varsayılan ağ geçidi olarak kullanmıyorlar ise uzak ağa erişmekte problem yaşayacaklardır.

VPN konusunda genel hatalar ve çözümleri

1. Error 809: PPTP bağlantısının kullanıcı adı ve şifre doğru-lanırken başarısız olması.

Sebep: İstemci ve sunucu arasında bulunan herhangi bir sis-temin port 1723 ü engellemesi ya da sunucu üzerinde PPTP nin devre dışı olması.

2. Error 806: PPTP bağlantısının kullanıcı adı ve şifre doğrulanırken başarısız olması.

Sebep: GRE paketlerinin arada bulunan herhangi bir sistem tarafından engellenmesi

3. Error 766: L2TP bağlantısı sırasında “Certificate could not be found - Sertifika bulunamadı” hatasının alınması

Sebep: IpSec sertifikasının istemcide bulunmaması, IPsec sertifikasının güvenilir bir sertifika sağlayıcıdan temin edilmemiş olması.

4. Error 789: L2TP bağlantısı sırasında “IKE Main mode co-uld not be started IKE ana modu başlatılamadı” hatasının alınması.

Sebep: UDP 500 portunun aradaki herhangi bir sistem tarafından engellenmiş olması.

5. Error 809: SSTP bağlantısının kurulamaması.

Sebep: Aradaki herhangi bir sistemin port 443 ü engellemesi.

6. Error 0x800B010F: SSTP bağlantısı sırasında alınan “The certificate‟s CN name does not match the passed Value” hatası.

Sebep: İstemcinin VPN bağlantısı kurarken uzak sunucunun istemci adını yanlış girmesi “SSTP Listener” da geçerli sertifika kullanılmaması.

7. SSTP bağlantısının “The server certificate revocation state could not be verified – Sunucu sertifikasının İptal durumu doğrulanamadı” hatası ile sona ermesi

Sebep: CRL listesine istemcilerin erişim sağlayamaması.

Devamı>>

Tcpdump

Tcpdump Linux / Unix temelli sistemlerde kullanılabilecek ağ trafiği izleme aracıdır(Sniffer). İlk Snifferlar dan olan tcpdump TCP / IP iletişiminin analizinde kullanılabilecek en hızlı araçlardan biridir. Ağ geçitleri üzerinde yada yönetilebilir switchlerdeki mirror port (Span) özellikleri kullanılarak trafik analizi yapılabilir.

Tcpdump aşağıdaki adresten indirilebilir.
http://www.tcpdump.org/release/tcpdump-4.2.1.tar.gz

Kullanımı:
Bir istemciye gelen ve giden tüm trafiği izlemek;
tcpdump host <ip>

Bir istemciden giden trafiğini izlemek ;
tcpdump src host <ip>

Belli bir porta gelen yada giden iletişimi izlemek ;

tcpdump <src | dst> port 25

Network Aralığı belirtmek ; (Aşağıdaki komut 10.0.0.0/16 network ünün iletişimini görüntüler)

tcpdump net 10.0.0 

Birden fazla şarta göre kayıtların görüntülenmesi için kullanılacak ifadeler;

Dışında : 

< ! > yada < not > ; tcpdump host not 10.0.0.4   (10.0.0.4 IP adresinin dışındaki kayıtları görüntüler)

Ve :

< && > yada < and > ; tcpdump src host 10.0.0.4 && src port 22  ( 10.0.0.4 ün 22 nolu portuna gelen iletişimi görüntüler )

Yada: 

< || > yada < or > ; 

Birden çok şart belirtilecek ise aşağıdaki şekilde bir yazım kullanmak gerekmektedir.

tcpdump '((tcp) and (port 80) and ((dst host 10.0.0.5) or (dst host 10.0.0.6)))'

10.0.0.5 yada 10.0.0.6 ip adreslerine gelen http isteklerini görüntüler.

Devamı>>

Hackerlıgın Kısa Tarihi (Alıntı)

Taş Devri
Her şey ilk telefon şirketinin, (Bell Telephone) kurulmasıyla başladı. O zamanlar acemi hacker'lar vardı. Tabi 1878'de daha onlara hacker denilmiyordu. Daha çok yerel santrallerde çalışmaları için tutulmuş muzip gençlerdi bunlar. Telefonları yanlış yönlendirmek, sevmedikleri müşterilere inanılmaz faturalar sağlamak gibi engel olamadıkları dürtüleri vardı (Santral, bu benim kuzenim Corc değil, beni kime bağladınız,... Alooo aloo!). Santral operatörlüğüne neden genç kızların konulduğu sorusu böylece cevaplanmış oluyor... İlk gerçek bilgisayar korsanlarının zamanına doğru hızlı ileri alalım.

69 Öncesi

Sene 1960'lar. MIT (Massachussets Institute of Technology) öğrencilerinin her şeyin nasıl çalıştığına dair inanılmaz merakları var. O zamanların milyon dolarlık bilgisayarları soğutulmuş odalarda saklı, kocaman dolaplardan oluşuyor. Ve veriler kartonlara delikler delerek saklanıyor. Programcıların bu dev dinozorlara erişimleri epey sınırlı ve akıllı olanları hack denilen program kısa yolları oluşturuyorlar. Tek amaçları yapılması gereken işi daha hızlı yapmak. Hack (doğramak) kelimesinin bilgisayarlarla alakalı ilk kullanılışı bu tarihlere rastlıyor.

Belki de bütün zamanların en iyi hack'i, 1969'da iki Bell Labs çalışanı Dennis Ritchie ve Ken Thompson, tarafından bilgisayarı işletmek için önü açık bir kurallar kümesi şeklinde yaratılıyor. İsmi UNIX ve ona artık hack değil işletim sistemi deniyor.

70-79 arası

70'lerde siber-topraklar daha keşfedilme aşamasında. Hacking dediğimiz şey, kurcalamak ve kablolu dünyanın nasıl çalıştığını çözmeye çalışmaktan ibaret. 1971'de John Draper isimli bir Vietnam gazisi Cap'n Crunch mısır gevreği kutularından çıkan düdüğün tam 2600 mHz'lik bir ses çıkardığını keşfediyor. Düdüğü bir telefon kulübesinde ahizeye öttürdüğünüzde makine ya da santral bir çeyreklik attığınızı zannediyor ve bedava konuşabiliyorsunuz. Bu yöntem, ABD'de hala yaygın olarak kullanılıyor. Tabii telefon şirketleri artık daha komplike sinyaller gönderiyorlar, ama bizim keratalar bu sinyalleri de kaydedip telefona geri dinletmeyi beceriyorlar (efsanevi hacker dergisinin adı bu yüzden 2600).

Devamı>>

Microsoft Forefront TMG 2010 Yayınlandı

Microsoft ' un Forefront ürün ailesi bireylerinden TMG nin detaylı kullanımının anlatıldığı kitap Nirvana yayınlarından çıktı.

Bu Kitap;
Ne Anlatır?
Microsoft'un güvenlik ürün ailesi Forefront'un bireylerinden olan TMG nin pratik hayatta kullanımını anlatmaktadır.

ISA 2000,2004 ve 2006'dan sonra 2010 yılında Microsoft un piyasaya sunduğu TMG, ISA nın devamı niteliğindeki kurumsal ağların internet erişimini ve güvenliğini sağlamada kullanılan özel bir güvenlik ürünüdür.

TMG (Threat Management Gateway) 2010 URL Filtreleme, Kötücül yazılım koruma, Http & Https inceleme, IDS, IPS ve e-posta koruma özellikleri ile kurumsal ağ yapılarında çoklu katman güvenlik duvarı olarak hizmet vermektedir.

Bu kitap içinde TMG nin ISA'dan sonra kazandığı yeni özelliklerini, pratik hayatta kullanımını, yaşanan problemlerin çözümlerini bulacaksınız.

Kullanılan Dil 
Bu kitap bilişim sektörü içinde bulunan temel ağ ve sistem yönetimi bilgisine sahip okuyucu kitlesine hitap etmektedir.

Kitapta Yer Alan Konular

Forefront Ürün Ailesi
TMG Yeni Özellikler
TMG Network Tasarımı
TMG Erişim İlkeleri
TMG Sistem İlkeleri
TMG İstemci Türleri
TMG Gelişmiş Koruma Özellikleri
Sunucu Yayınlama
VPN
Raporlama

Kitap aşağıdaki adreslerden temin edilebilir.

D&R
Kitapyurdu
Hepsiburada.com
Idefix

Devamı>>

Bilişimin Karanlık Yüzü 2. Baskı Yayınlandı

Bilişim Güvenliği üzerine yapılan yoğun araştırmalar ve Eğitim hazırlıkları sonucunda ortaya çıkan " Bilişimin Karanlık Yüzü " adlı kitabımızın 2. Baskısı çıktı . Kitap üzerindeki bazı yazım yanlışları ve resim hataları düzeltildi.

Bilişim Güvenliği üzerine hala en büyük Türkçe kaynak olan kitap içeriği aşağıdaki gibidir.

Kitap tanıtım Metni :

Bu Kitap;

Ne Anlatır? Bu Kitap Bilişim sistemleri güvenlik zayıflıklarını, saldırı ve korunma yöntemlerini anlatmaktadır.

Kullanılan Dil? Bilişimin Karanlık Yüzü bilişim sektörü, network ve sistem yönetimi konularıyla ilgilenen teknik terimler hakkında fikir sahibi giriş seviyesinden başlayarak ileri düzeye kadar herkesin anlayabileceği dilde hazırlanmıştır.

Amacı Ne? Bu kitabın amacı tamamen sistem güvenlik testlerini yapabilecek Güvenlik Uzmanlarını yetiştirme konusunda materyal oluşturmaktır.

En iyi savunma düşmanı tanımakla mümkündür felsefesiyle hazırlanmıştır. Bu sebeple saldırı yöntemlerinin örneklemelerle anlatılması ile Güvenlik uzmanlarına kaynak oluşturmaktadır.

Önemli Uyarı
Bu kitap'ta anlatılan yazılım ve yöntemleri yasa dışı ve kanuna aykırı şekilde kullanılması durumunda yazar ve yayınevi sorumlu tutulamaz. Kitap içinde bahsedilen bilgiler ve yöntemler tamamen eğitim amaçlı olarak verilmiştir. Bu bilgilerin bilerek veya bilmeyerek iyi niyetli ya da art niyet taşıyarak kullanılmasından doğabilecek her türlü sonuç ve yasal yükümlülük yazar ve yayınevi tarafından red edilmiştir.

Kitapta Yer Alan Konular

"Bilgi Toplama Yöntemleri
"Sistemlere Giriş Yöntemleri
"Virüsler, Wormler ve Trojanlar
"Network Paket Kaydedicileri
"Sosyal Mühendislik
"DOS (Denial Of Service)
"Web Sunuculara Giriş
"Web Tabanlı Şifre Kırma Yöntemleri
"SQL Enjeksiyon
"Kablosuz Networkler
"Fiziksel Güvenlik
"Linux
"IDS, Güvenlik Duvarı ve Honeypotlar
"Kriptografi
"Sızma Testleri (Penetration Testing)
"Exploit

Kitabın indeksine ulaşmak için Tıklayınız.

Kitap aşağıdaki adreslerden temin edilebilir.

İdefix
D&R
Hepsiburada.com
Kitapyurdu

Devamı>>