IDS, IPS, Active Response, Inline tanimlari
By Huzeyfe ONAL | May 8, 2008
IDS/IPS/IDP dunyasinda sIk kullanilan fakat genellikle eksik/yanlis kullanilan bazi terimler var. Bunlardan en sIk rastladiklarim, IDS, Active response(aktif yanit sistemi), Inline vs.. Kisa kisa bu tanimlarin ne olduklarina deginmeye calisacagim.
IDS: Genel mana itibari ile atak/saldiri tespiti yapmak ve kurulan uyari mekanizmasi ile guvenlik yoneticilerini uyarmak gorevindedir. IDS’ler dogal hali ile pasif sistemlerdir ve saldirgana herhangi bir cevap donmezler, hatta saldirgan agda bir IDS oldugunu bile cogu zaman farketmez. IDS’lere ataklari kismi engelleme ozelligi eklemek icin Aktif yanit destegi(active response) eklenmistir.
Active response(Aktif yanıt)’dan kasıt IDS sistemlerinin saldırı anında TCP RST(TCP icin) ve ICMP hata mesajları(UDP icin) paketleri göndermesidir. Eski bir yontemdir ve gunumuzde kompleks saldirilara karsi saglam bir cozum onermemektedir. Burada IDS sistemi ile sunucu ve saldirdan arasinda bir yaris soz konusudur ve ortamdaki bilesenler saldirinin basarili olup olmamasinda onem kazanir(IDS’in cpu gucu, switch kalitesi vs)
Aktif yanıt sistemlerinin diger onemli bir eksigi de tek paketle yapilan(one shot) saldırıları engelleyememeleri. Tıpkı Slammer wormunda olduğu gibi.(UDP portuna tekbir paket ile gerceklestiriliyor) Zira paket hedefe ulaşmış ve saldırı başarılı olmuştur, bu andan itibaren hedefe ya da sunucuya RST, Icmp hata mesaklari gondermek işe yaramayacaktır.
Inline sistem: paketlerin geçiş yolu üzerinde bulunan sistem demektir. Router, Güvenlik duvari, bridge modda çalışan yapılar Inline sistemlerdir. Inline, kesinlikle bridge modda çalışan system demek değildir, Layer2 ya da Layer3 e calisabilir. Önemli olan paketin cihaz/sistem üzerinden geçmesidir.
IDS(Aktif yanıtlama sistemleri) ile IPSler aradındaki en önemli fark IPS sistemlerin inline modda çalışmasıdır.
Inline sistemlerin diğer bir yararı da trafik üzerlerinden geçtiği için uygulama seviyesinde paket içeriğinde değişiklik yapabilmeleridir. Mesela saldırganın paketi içerisinde /bin/sh şeklinde bir ibare varsa bunu /ben/sh olarak değiştirerek saldırının başarılı olmasını engelleyebilir. Burada dikkat edilmesi gereken husus Inline sistemin içeriği değiştirdikten sonra transport katmanında checksum değerinin yeniden hesaplaması gerektiğidir.
Topics: IDS/IPS/IDP | 1 Comment »
OpenVPN & OpenBSD’i sistem hesaplarini kullanacak sekilde yapilandirmak
By Huzeyfe ONAL | May 8, 2008
Acik kaynak SSL VPN cozumu OpenVPN‘nin onaylama mekanizmasi icin sistem hesaplarini kullanmak PAM altyapisi kullanmayan sistemlerde(OpenBSD gibi) pek mumkun gozukmuyor.
Bunun icin kendiniz bir betik/program yazarak sistem kullanicilarini OpenVPN ile calisacak hale getirebilirsiniz. Bunun icin piyasada kullanabilecek cesitli alternatifler var. Benim test ettigim ve kullandigim openvpn-auth-passwd isini oldukca iyi yapiyor.
Read the rest of this entry »
Topics: OpenBSD, VPN | No Comments »
USB Disklerdeki bilgilerimiz tehlikede…
By Huzeyfe ONAL | May 8, 2008
Son yillarda fiyatlarinin ucuzlamasi ve cesitli sebeplerden dolayi usb disklerin kullanimi oldukca yayginlasti… Birsey yayginlasirda bilgisayar dunyasinin yaramaz cocuklari bos durur mu hic?
USB belleklerle ilgili hemen hemen herkesin aklina gelebilecek cesitli senaryolar vardir;
- bunlardan biri de usb diski taktiginiz herhangi bir bilgisayarda iceriginin sizden habersiz , sessiz sedasiz kopyalanmasi/calinmasi.. Yaklasik olarak 2 yil once boyle bir konudan suphelenmem sonucu usb diskim icin Truecrypt kullanmaya basladim, usb bellegimin icerigini sifreleyip, truecrypt olmayan pclerde de kullanabilmek icin programin kurulum dosyalarini da sifrelenmemis kisma koyuyorum…
Yine benzer bir konuda arastirma yaparken teorik olarak duydugum bu konunun pratige dokuldugunu, hatta uzerine cesitli gelistirmeler(takilan usb deki bilgilerin otomatik alinip, ziplenerek ssl bir tunel uzerinden gmail’e gonderilmesi vs) yapildigini gordum… Read the rest of this entry »
Topics: System Security | No Comments »
SPAM Engellemede Ters DNS(Reverse DNS) Kaydi Calisma Yontemi
By Huzeyfe ONAL | May 8, 2008
Bazi SMTP sunucularda ters dns kaydi kontrol yontemi ile spam koruma yapilabiliyor. Her ne kadar cok etkin olmasa da spam gonderen IP adresleri genellikle ters dns kaydina sahip olmadigi icin ise yariyor. Tabi bu arada spam olmayan fakat ters dns kaydi bulunmayan sunuculardan da mailler kabul edilmiyor. Burada maili kabul etmemenizin sebebini hata mesaijnda gosterebilirseniz (ki bildigim tum unix tabanli mtaler destekliyor) karsidaki en azindan sebebini bilir.
Asil bahsetmek istedigim bu isin nasil calistigi , gorebildigim kadari ile ters dns kaydi sorgulamasi yanlis anlasiliyor.
SMTP_A (IP_A) SMTP_B (IP_B) seklinde iki tane smtp sunucumuz olsun. Bunlardan A mail gonderecek B de ters dns kaydi kontrolu yapan sunucumuz..
SMTP_A makinesi mail gondermek icin SMTP_B’ye baglaniyor, baglanti baslangicinda kendini helo/ehlo ile tanitiyor. Burada kendini tanitirken kullandigi hostname onemli.
SMTP_A —> ehlo “mail.huzeyfe.net” —->SMTP_B
SMTP_B baglantinin geldigi IP adresini(IP_A) aliyor, PTR kaydini sorguluyor eger SMTP_A’nin ehlo/helo komutunda belirttigi isim cikarsa Ok diyor, yoksa baglantiyi kabul etmiyor.
Bu yontem uzerinde tek bir IP adresi ve tek bir domainden sorumlu smtp sunucular icin yararli olsa da karmasik sistemlerde ise yaramiyor hatta sistemin yanlis algilanmasina sebep olabiliyor. Aslinda en ideali ters dns kaydinin kontrolunu bir skora baglamak ve SPAM icin gerekli skorun toplanmasinda kullanmak ki cogu yazilim artik bu sekilde calisiyor.
Topics: SPAM | No Comments »
Windows XP/Vista ve (RDP)Remote Desktop Guvenligi..
By Huzeyfe ONAL | May 8, 2008
Sistemlerinizi yonetmek icin RDP(Remote Desktop Protocol) kullaniyor ve arada gidip gelen verilerin sifreli oldugunu bilerek/dusunerek kafaniz rahat calisiyorsunuz. Fakat durum pek de bilindigi/gorundugu gibi degil.
Windows XP(SP++) sistemler de dahil olmak uzere Microsoft’un RDP iletisimi public-private key guvenligi ile korunuyor. Buradaki public-private key bizim bildigimiz klasik asimetrik sifrelemeden biraz farkli. Private key olarak tanitilan anahtar her sistemde ayni… (Detaylarini merak eden arastirsin, Cain & Abel’in help’ine baksin..).
Boyle oluncada RDP’de mitm(araya girip verileri okumak olarak algilayin) standart bir protokol kadar kolay ve agrisiz oluyor. Normal de SSL de vs araya girildiginde kullaniciya sistemin key’inin farkli olduguna dair bir uyari gelir, RDP’de priv key tum sistemlerde ayni oldugu icin boyle bir durum soz konusu olmuyor.
Topics: Windows Security | No Comments »
Windows XP Coklu RDP(Uzak masaustu) Kullanimi
By Huzeyfe ONAL | May 8, 2008
Windows XP Pro. ile birlikte gelen uzak masaustu baglantisi (Remote Desktop connection) oldukca yararli bir ozellik fakat ayni anda tek kullanici kabul etme kisiti bu guzellige golge dusuruyor. Uzaktan baglanan birinin sisteme girebilmesi icin o anki yerel kullanicinin cikmasi gerekiyor. Ya da sistemi ayni anda tek kullanici aktif olarak kullaniyor diyebiliriz.
Bir Windows XP makineyi birden fazla kullanici “eszamanli” kullanmak isterse bu yasaklamayi asmak gerekiyor .
Bunun icin internette bulabileceginiz cesitli cozum onerileri var, benim kullandigim Sala Terminal server patch oldukca basit bir sekilde Windows XP Pro SP2′li makinenizi coklu uzaktan erisim moduna gecirebiliyor.
http://sala.pri.ee/Termiserv_XPSP2_i386_1.0.exe (Yeniden baslatma gerektiriyor)
Not: Bu yontemin ek lisans gerektirip gerektirmedigini bilmiyorum, sanirim ek kullanici lisansi almaniz gerekebilir. Uyarmadi demeyin:D
Topics: Windows Security | No Comments »
Bu IP adresi hangi ulkeye ait?
By Huzeyfe ONAL | May 8, 2008
Bir IP adresinin hangi ulkeye ait oldugunu ogrenmenin bircok yolu vardir. Bunlardan biri de http://ip-to-country.webhosting.info/ adresidir. Adreste bu islemin nasil yapildigini anlatan bir kitapcik ve demo ekrani var. Istenirse tum veritabanı tek bir dosya olarak da indirilebiliyor.. http://ip-to-country.webhosting.info/downloads/ip-to-country.csv.zip adresi aylık(?) olarak guncellenen ip-country listesini iceriyor… Read the rest of this entry »
Topics: Privacy | No Comments »
qmail & Active Directory Entegrasyonu
By Huzeyfe ONAL | May 8, 2008
Topics: Qmail | No Comments »
WordPress’a guvenlik dopingi
By Huzeyfe ONAL | May 8, 2008
WordPress, benim guvenlik cekincelerim yuzunden uzun zaman kullanmamakta israr ettigim fakat aradigim ozellikleri bulabildigim tek blog yazilimi olmasi sonucu bazi riskleri kabul ederek kullanmaya basladigim bir yazilim.
Kabul ettigim riskleri en aza indirme amacli olarak WP’nin cogu bilesenini aktif olarak kullanmiyorum, bunun yaninda olabildigince guncellemeleri takip etmeye calisiyordum. Ama WP’nin sıklıkla cıkan guvenlik acikliklari bir zaman sonrazorlamaya baslayinca sunucu tarafinda cesitli onlemler alma yoluna gittim. Gecenlerde bir arastirmam sirasinda WP’nin guvenligi ile ilgili cikmis eklentilere rastladim. Aralarindan ikisi tam da istedigim isi yapiyordu.
- WP guncellemelerini takip edip beni uyaracak ve tek tiklama ile tum sistemi guncelleyecek bir eklenti
- WP uzerine kurdugum, ekledigim ek kodlari, bilesenleri guvenlik taramasindan gecirerek raporlama yapacak bir bilesen.
Wordpress otomatik guncelleme eklentisi
Asagidaki 8 adimi uygulayarak otomatize guncelleme yapabilen bir WP’e sahip olabilirsiniz. Boylece guncelleme yaparken yedekleme vs gibi islemlerle ugrasmazsiniz.
- Backs up the files and makes available a link to download it.
- Backs up the database and makes available a link to download it.
- Downloads the latest files from http://wordpress.org/latest.zip and unzips it.
- Puts the site in maintenance mode.
- De-activates all active plugins and remembers it.
- Upgrades wordpress files.
- Gives you a link that will open in a new window to upgrade installation.
- Re-activates the plugins.
Ilgili eklentiyi indirmek icin: http://wordpress.org/extend/plugins/wordpress-automatic-upgrade/
WordPress Guvenlik Taramasi Eklentisi
- -passwords
- -file permissions
- -database security
- -version hiding
- -WordPress admin protection/security
-removes WP Generator META tag from core code
Ileriki surumlerde eklenmesi dusunulen maddeler:
*one-click change file/folder permissions
*test for XSS vulnerabilities
*intrusion detection/prevention
*lock out/log incorrect login attempts
*user enumeration protection
*.htaccess verification
*doc links
Ilgili eklentiyi indirmek icin: http://wordpress.org/extend/plugins/wp-security-scan/
Ek kaynaklar:
WordPress ile ilgili cikmis tum guvenlik acikliklari ve detaylari hakkinda bilgi almak icin:
http://blogsecurity.net/wordpress/blogwatch/blogwatch/
WordPress’i daha guvenilir hale getirmek icin yazilmis guncel bir dokuman
http://blogsecurity.net/projects/WordPress_Whitepaper_rev12.pdf
Topics: Web Security | No Comments »
Free Proxyleri Engelleme
By Huzeyfe ONAL | May 7, 2008
Son zamanlarda mahkeme karari ile youtube, google groups vs gibi populer sitelerin yasaklanmasi internet kullanicilarini alternatif arayislara itti. Yasagi asma yontemi onceleri DNS sunucu degistirme ile yapiliyordu, sonralari TIB’in yasaklanan sitelerin ip adresi/bloguna erisimleri engellemesi sonucu http proxylere kaydi(Buradan da yasaklamanin Internetin dogasina aykiri oldugunu bir kere daha goruyoruz ).
Http proxyler bildigimiz klasik proxy anlayisinin biraz disinda. Browserdan herhangi bir ayar yapmaya gerek kalmadan site icinden kullanilabiliyor. Http content filterlara takilmamak icin cogu proxy SSL destegi de veriyor. Boylece bu tip proxylerin kullanilmasini engellemenin tek(?) yolu olarak domain ismine gore yasaklama(yeni cikan https content filterlari saymiyorum)secenegi oluyor.
Internette yaptigim kisa bir arastirma sonrasi domain isimlerinin de artik takip edilemez derece de arttigini gordum. Kisa bir arastirma ile saglikli bir sekilde calisan 50000 den fazla http/https proxy sitesine ulastigimi soyleyebilirim.
Arastirmayi biraz daha uzatirsam bu sayinin yuzbinleri asacagina eminim.
Eger siz de Websense vs gibi ticari yazilimlar kullanmiyorsaniz asagidaki siteleri duzenli takip ederek bu tip proxylerin kullanilmasini engelleyebilirsiniz. %100 bir engelleme saglamasa da kullanici profilinizin cesitliligine gore %90 ustu bir koruma saglanabilir. Geriye kalan %10luk kisim icin de http/https erisim loglarinizi inceleyerek proxy olabilecek adresleri eklersiniz.
http://proxy.org/cgi_proxies.shtml
http://www.freecgiproxylist.com/FreeProxies.html
http://www.freeproxy.ru/en/free_proxy/cgi-proxy.htm
http://freeproxies.org/list.htm
Topics: Content Filtering, Misc, Network Security | No Comments »