Cyber Security Body of Knowledge (CyBOK) Eğitimi

Bu eğitmen liderliğindeki, canlı eğitim (Türkiye çevrimiçi veya yerinde), 389 Directory Server kullanarak LDAP tabanlı kimlik doğrulama ve yetkilendirmeyi yapılandırmak ve yönetmek isteyen sistem yöneticilerine yöneliktir.

Bu eğitimin sonunda katılımcılar şunları yapabilecektir:

• 389 Directory Server'yı kurun ve yapılandırın.
• 389 Directory Server'nın özelliklerini ve mimarisini anlayın.
• Dizin sunucusunu web konsolu ve CLI kullanarak nasıl yapılandıracağınızı öğrenin.
• Yüksek kullanılabilirlik ve yük dengelemesi için replikasyonu kurun ve izleyin.
• Daha hızlı performans için SSSD kullanarak LDAP kimlik doğrulamasını yönetin.
• 389 Directory Server'yı Microsoft Active Directory ile entegre edin.

Bu eğitmen liderliğindeki, canlı eğitim (Türkiye çevrimiçi veya yerinde), veriye erişimi yönetmek ve güvence altına almak için Microsoft Active Directory'yi kullanmak isteyen sistem yöneticilerine yöneliktir.

Bu eğitimin sonunda katılımcılar şunları yapabilecektir:

• Active Directory'yi kurmak ve yapılandırmak.
• Bir etki alanı kurmak ve kullanıcıların ve cihazların erişim haklarını tanımlamak.
• Grup İlkeleri aracılığıyla kullanıcıları ve makineleri yönetmek.
• Dosya sunucularına erişimi kontrol etmek.
• Bir Sertifika Hizmeti kurmak ve sertifikaları yönetmek.
• Şifreleme, sertifikalar ve kimlik doğrulama gibi hizmetleri uygulamak ve yönetmek.

Android, el cihazları (akıllı telefonlar ve tabletler gibi) için açık bir platformdur. Güvenli yazılım geliştirmeyi kolaylaştıran geniş bir güvenlik özelliği yelpazesine sahiptir; ancak diğer el cihazı platformlarında bulunan belirli güvenlik yönleri eksiktir. Bu kurs, bu özelliklerin kapsamlı bir genel bakışını sunar ve altta yatan Linux, dosya sistemi ve genel ortamla ilgili en kritik eksiklikleri, ayrıca izinlerin ve diğer Android yazılım geliştirme bileşenlerinin kullanımıyla ilgili hususları vurgular.

Tipik güvenlik hataları ve güvenlik açıkları, hem yerel kod hem de Java uygulamaları için açıklanır ve bunlardan kaçınmak ve etkilerini azaltmak için öneriler ve en iyi uygulamalar sunulur. Tartışılan sorunların çoğu, gerçek hayattan örnekler ve vaka çalışmalarıyla desteklenir. Son olarak, güvenlik açısından önemli programlama hatalarını ortaya çıkarmak için güvenlik test araçlarının nasıl kullanılacağına dair kısa bir genel bakış sunuyoruz.

Bu kursa katılanlar şunları yapacaktır

• Güvenlik, BT güvenliği ve güvenli kodlama temel kavramlarını anlayacaktır
• Android üzerindeki güvenlik çözümlerini öğrenecektir
• Android platformunun çeşitli güvenlik özelliklerini kullanmayı öğrenecektir
• Android üzerindeki Java ile ilgili bazı son güvenlik açıklarını öğrenecektir
• Tipik kodlama hatalarını ve bunlardan nasıl kaçınılacağını öğrenecektir
• Android üzerindeki yerel kod güvenlik açıklarını anlayacaktır
• Yerel kodda güvensiz arabellek işlemenin ciddi sonuçlarını fark edecektir
• Mimari koruma tekniklerini ve zayıflıklarını anlayacaktır
• Güvenli kodlama uygulamaları hakkında kaynaklar ve ileri okumalar edinecektir

Hedef Kitle

Profesyoneller

Güvenli bir ağ uygulaması uygulamak, daha önce çeşitli şifreleme yapı taşlarını (şifreleme ve dijital imzalar gibi) kullanmış olsalar bile geliştiriciler için zor olabilir. Katılımcıların bu şifreleme ilkel prensiplerinin rolünü ve kullanımını anlamalarını sağlamak için öncelikle güvenli iletişimin temel gereksinimleri – güvenli onay, bütünlük, gizlilik, uzak kimlik doğrulama ve anonimlik – sunulur. Aynı zamanda bu gereksinimleri zedeleyebilecek tipik sorunlar ve gerçek dünya çözümleri de sunulur.

Ağ güvenliğinin kritik bir yönü olan şifreleme, simetrik şifreleme, karma, asimetrik şifreleme ve anahtar anlaşması alanlarındaki en önemli şifreleme algoritmaları da tartışılır. Derinlemesine matematiksel bir arka plan sunmak yerine, bu öğeler bir geliştirici perspektifinden tartışılır, tipik kullanım durumu örnekleri ve genel anahtar altyapıları gibi şifrelemenin kullanımıyla ilgili pratik hususlar gösterilir. Birçok güvenli iletişim alanındaki güvenlik protokolleri tanıtılır ve ISEC ve SSL/TLS gibi en yaygın olarak kullanılan protokol aileleri derinlemesine tartışılır.

Tipik şifreleme güvenlik açıkları, belirli şifreleme algoritmaları ve şifreleme protokolleriyle ilgili olarak BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE ve benzeri gibi konularla birlikte tartışılır. Her durumda, pratik hususlar ve potansiyel sonuçlar, derin matematiksel detaylara girmeden açıklanır.

Son olarak, XML teknolojisi ağ uygulamaları tarafından veri alışverişi için merkezi olduğundan, XML'un güvenlik yönleri açıklanır. Bu, XML'un web hizmetleri ve SOAP mesajları içindeki kullanımı ile XML imzası ve XML şifrelemesi gibi koruma önlemlerini içerir – ayrıca bu koruma önlemlerindeki zayıflıklar ve XML'a özgü güvenlik sorunları, XML enjeksiyonu, XML harici varlık (XXE) saldırıları, XML bombaları ve XPath enjeksiyonu gibi konuları içerir.

Bu kursa katılanlar

• Güvenlik, BT güvenliği ve güvenli kodlamanın temel kavramlarını anlayacaktır
• Güvenli iletişimin gereksinimlerini anlayacaktır
• Farklı OSI katmanlarında ağ saldırıları ve savunmaları hakkında bilgi edinecektir
• Şifreleme konusunda pratik bir anlayışa sahip olacaktır
• Temel güvenlik protokollerini anlayacaktır
• Kriptosistemlere yönelik bazı son saldırıları anlayacaktır
• İlgili bazı son güvenlik açıklarını öğrenecektir
• Web hizmetlerinin güvenlik kavramlarını anlayacaktır
• Güvenli kodlama uygulamaları hakkında kaynaklar ve ileri okumalar edinecektir

Hedef Kitle

Geliştiriciler, Profesyoneller

Bu üç günlük kurs, C/C++ kodunu, bellek yönetimi ve girdi işleme ile ilgili birçok güvenlik açığından yararlanabilecek kötü niyetli kullanıcılara karşı güvence altına almanın temellerini kapsamaktadır. Kurs, güvenli kod yazma prensiplerini ele almaktadır.

Hatta deneyimli Java programcıları bile Java tarafından sunulan çeşitli güvenlik hizmetlerini tam olarak kavramakta ve Java ile yazılmış web uygulamaları için geçerli olan farklı güvenlik açıklarının farkında olmayabilirler.

Bu kurs, Standard Java Edition'ın güvenlik bileşenlerini tanıtmanın yanı sıra, Java Enterprise Edition (JEE) ve web hizmetlerinin güvenlik konularını ele almaktadır. Belirli hizmetlerin tartışılması, şifreleme ve güvenli iletişimin temelleriyle başlar. JEE'de bildirimsel ve programlı güvenlik tekniklerini içeren çeşitli egzersizler yapılırken, web hizmetlerinin hem taşıma katmanı hem de uçtan uca güvenliği tartışılır. Tüm bileşenlerin kullanımı, katılımcıların tartışılan API'leri ve araçları kendileri deneyebilecekleri çeşitli pratik egzersizler aracılığıyla sunulmaktadır.

Kurs ayrıca Java dili ve platformunun en sık karşılaşılan ve ciddi programlama hatalarını ve web ile ilgili güvenlik açıklarını da ele alarak açıklamaktadır. Java programcıları tarafından yapılan tipik hataların yanı sıra, tanıtılan güvenlik açıkları hem dile özgü sorunları hem de çalışma zamanı ortamından kaynaklanan sorunları kapsamaktadır. Tüm güvenlik açıkları ve ilgili saldırılar, kolayca anlaşılabilir egzersizler aracılığıyla gösterilir, ardından önerilen kodlama yönergeleri ve olası azaltma teknikleri sunulur.

Bu kursa katılanlar şunları yapacaktır

• Güvenlik, BT güvenliği ve güvenli kodlama kavramlarının temellerini anlayacaklar
• OWASP En İyi On'un ötesindeki web güvenlik açıklarını öğrenecekler ve bunlardan nasıl kaçınılacağını bilecekler
• Web hizmetlerinin güvenlik kavramlarını anlayacaklar
• Java geliştirme ortamının çeşitli güvenlik özelliklerini kullanmayı öğrenecekler
• Şifreleme konusunda pratik bir anlayışa sahip olacaklar
• Java EE'nin güvenlik çözümlerini anlayacaklar
• Tipik kodlama hatalarını ve bunlardan nasıl kaçınılacağını öğrenecekler
• Java çerçevesindeki bazı son güvenlik açıklarını öğrenecekler
• Güvenlik test araçlarını kullanma konusunda pratik bilgi edinecekler
• Güvenli kodlama uygulamaları hakkında kaynak ve ileri okumalar edinecekler

Hedef Kitle

Geliştiriciler

Açıklama

Java dili ve Çalışma Zamanı Ortamı (JRE), diğer dillerde (C/C++ gibi) yaşanan en sorunlu yaygın güvenlik açıklarından arındırılmak üzere tasarlanmıştır. Ancak yazılım geliştiriciler ve mimarlar, yalnızca Java ortamının çeşitli güvenlik özelliklerini nasıl kullanacaklarını (pozitif güvenlik) bilmekle kalmamalı, aynı zamanda Java geliştirme için hala geçerli olan birçok güvenlik açığının da farkında olmalıdır (negatif güvenlik).

Güvenlik hizmetlerinin tanıtımına, şifrelemenin temellerine ilişkin kısa bir genel bakışla başlanır ve böylece ilgili bileşenlerin amacını ve işleyişini anlamak için ortak bir temel sağlanır. Bu bileşenlerin kullanımı, katılımcıların tartışılan API'leri kendileri deneyebilecekleri çeşitli pratik egzersizler aracılığıyla sunulur.

Kurs ayrıca Java dili ve platformunun en sık karşılaşılan ve ciddi programlama hatalarını ele alır ve hem Java programcıları tarafından yapılan tipik hataları hem de dile ve ortama özgü sorunları kapsar. Tüm güvenlik açıkları ve ilgili saldırılar, kolayca anlaşılabilir egzersizler aracılığıyla gösterilir ve ardından önerilen kodlama yönergeleri ve olası azaltma teknikleri sunulur.

Bu kursa katılanlar şunları yapabilecektir:

• Güvenlik, BT güvenliği ve güvenli kodlama kavramlarını anlayacaktır.
• OWASP En İyi On'un ötesindeki web güvenlik açıklarını öğrenecek ve bunlardan nasıl kaçınılacağını bilecektir.
• Java geliştirme ortamının çeşitli güvenlik özelliklerini kullanmayı öğrenecektir.
• Şifrelemenin pratik bir anlayışına sahip olacaktır.
• Tipik kodlama hatalarını ve bunlardan nasıl kaçınılacağını öğrenecektir.
• Java çerçevesindeki bazı son güvenlik açıklarını öğrenecektir.
• Güvenli kodlama uygulamaları hakkında kaynak ve ileri okumalar edinecektir.

Hedef Kitle

Geliştiriciler

Bu eğitmen liderliğindeki, canlı eğitim (Türkiye çevrimiçi veya yerinde), kuruluşlarının kullanıcı, grup ve makinelerinin kimlik doğrulama, yetkilendirme ve hesap bilgilerini merkezi hale getirmek isteyen sistem yöneticilerine yöneliktir.

Bu eğitimin sonunda katılımcılar şunları yapabilecektir:

• FreeIPA'i kurmak ve yapılandırmak.
• Linux kullanıcılarını ve istemcilerini tek bir merkezi konumdan yönetmek.
• FreeIPA'in CLI'sını, Web UI'sını ve RPC arayüzünü kullanarak izinleri ayarlamak ve yönetmek.
• Tüm sistemlerde, hizmetlerde ve uygulamalarda Tek Oturum Açma kimlik doğrulamasını etkinleştirmek.
• FreeIPA'i Windows Active Directory ile entegre etmek.
• FreeIPA sunucusunu yedeklemek, çoğaltmak ve taşımak.

Bu eğitmen liderliğindeki, canlı eğitim (Türkiye çevrimiçi veya yerinde), kimlik ve erişim yönetimi için Okta'i kullanmak isteyen sistem yöneticilerine yöneliktir.

Bu eğitimin sonunda katılımcılar şunları yapabilecektir:

• Okta'i yapılandırabilecek, entegre edebilecek ve yönetebilecekler.
• Mevcut bir uygulamaya Okta'i entegre edebilecekler.
• Çok faktörlü kimlik doğrulama ile güvenlik uygulayabilecekler.

OpenLDAP açık kaynaklı bir yazılımdır ve LDAP (Hafif Dizin Access Protokolü) protokolünü uygulayarak bilgi dizinlerinin yönetimi ve erişimini sağlar. Jest, kullanıcılar, gruplar, ağ kaynakları ve diğer ağ nesneleri hakkında verileri depolamak ve paylaşmak için kullanılabilecek popüler bir dizin sunucusudur.

Türkiye'da (çevrimiçi veya yerel) yapılan bu eğitmen yönetimi altında gerçekleştirilen canlı eğitim, LDAP dizinleri kurmak, yapılandırmak, yönetmek ve güvence altına almak isteyen orta düzeyli sistem yöneticilerine ve IT profesyonellere yönelik olmaktadır.

Eğitim sonunda, katılımcılar aşağıdaki becerilere sahip olacaktır:

• LDAP dizinlerinin yapısını ve işleyişini anlamak.
• Farklı dağıtım ortamları için OpenLDAP'yi kurmak ve yapılandırmak.
• Erişim denetimi, kimlik doğrulama ve kopyalama mekanizmaları uygulamak.
• OpenLDAP'yi üçüncü taraf hizmetlerle ve uygulamalarla kullanmak.

Bu eğitmen liderliğindeki, canlı eğitim (Türkiye çevrimiçi veya yerinde), web uygulamaları için kimlik ve erişim denetimlerini yönetmek isteyen sistem yöneticilerine yöneliktir.

Bu eğitimin sonunda katılımcılar şunları yapabilecektir:

• Kimlik doğrulama ve erişim denetimlerini yapılandırmaya başlamak için gerekli sunucu ortamını kurmak.
• Web uygulamaları için tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve kullanıcıların kendi kendine hizmet özelliklerini uygulamak.
• Kimlik yönetimini farklı sistemler veya uygulamalar arasında güvenli bir şekilde genişletmek için federasyon hizmetlerini (OAuth 2.0, OpenID, SAML v2.0 vb.) kullanmak.
• Access ve REST API'leri aracılığıyla kimlik doğrulama, yetkilendirme ve kimlik hizmetlerini yönetmek.

Bu eğitmen liderliğindeki, canlı eğitim (Türkiye çevrimiçi veya yerinde), kuruluşlarının kullanıcı kimlik bilgilerini üretim ortamında yönetmek isteyen sistem yöneticilerine yöneliktir.

Bu eğitimin sonunda katılımcılar şunları yapabilecektir:

• OpenDJ'ü kurmak ve yapılandırmak.
• OpenDJ sunucusunu sürdürmek, buna izleme, sorun giderme ve performans için optimizasyon dahil.
• Birden fazla OpenDJ veritabanı oluşturmak ve yönetmek.
• OpenDJ sunucusunu yedeklemek ve taşımak.