GreenSQL DB Firewall ile Sql Injection Önlemi
| GreenSQL, sql injection saldırıları için database’leri koruma altına almak üzere geliştirilmiş bir database firewall uygulamasıdır. MySQL ve PostgreSQL’ler için destek sunan GreenSQL temel olarak proxy olarak çalışarak gerçek database’in önünde durur ve web uygulamasından gelen sql bağlantı isteklerini karşılayarak SQL komutlarını inceler ve bir risk scoring matrix kullanarak ilgili sql cümlelerini analiz ederek aksiyon alır. |  |
Bu şekilde, web uygulamanızda bir sql injection açığı bulunsa dahi GreenSQL sayesinde açıktan etkilenmemeniz mümkün olabilir. Detaylarına yazının devamında değineceğim GreenSQL temel olarak, default 3305 portunu dinler ve gelen sql istekleri için risk analizi yapar; güvenli olmaları durumunda komutları arkadaki sql sunucusuna iletir, eğer sql cümleleri güvenli değil ve daha önceden de Whitelist’e eklenmemişlerse blocklar ve uygulamaya boş bir cevap döndürür. GreenSQL’in IPS, IDS, Firewall ve Learning gibi modlarda çalıştırabilirsiniz. Özellikle learning modu false positive durumların önüne geçmek için çok kullanışlıdır. Ayrıca GreenSQL fiziksel olarak database sunucunuz ile aynı makinada çalışabilir ya da ayrı bir makina üzerine konumlandırabilirsiniz.
Yazının devamında, GreenSQL’in çalışma mantığından, kurulum ve yapılandırma işlemlerinden bahsedeceğim.
CentOS üzerinde Fail2Ban ile Brute Force Önlemi
| Sunucunuzda, internet üzerinden direk erişilebilir ve güvenliği sadece şifre ile sağlanan servisleriniz varsa, log dosyalarınızda birilerinin şifre deneme yöntemi ile ilgili servis üzerinde yetki elde etme teşebbüslerini tespit edebilirsiniz. Örnek olarak sunucunuzdaki SSH servisi default (22.) porttan çalışıyor ve herhangi bir erişim kontrol mekanizması (firewall vs.) kullanmıyorsanız bu durumla bol bol karşılaşmanız kaçınılmazdır. (ve umarım güçlü bir şifre kullanıyorsunuzdur.) |  |
Ancak sunucunuza herhangi bir nedenle erişim kontrolü uygulayamıyorsanız ve gerçekten de ilgili servislere (örneğin ssh) herhangi bir yerden erişilmesi gerekiyorsa en azından fail2ban kullanabilir ve sunucunuzun brut force attack ile ele geçirilme riskini minimize edebilirsiniz. Fail2ban, sunucunuzun log dosyalarını takip ederek, sizin belirlediginiz bir sayının üzerinde başarısız login girişimininde bulunan birinin IP adresini gene sizin belirlediğiniz bir süre boyunca reject etmeye yarayan güzel bir python uygulamasıdır.
Bu yazıda, Iptables ya da tcpwrapper (hosts.deny) kullanarak sshd, vsftpd, proftpd, apache, lighttpd gibi uygulamalar için başarısız login denemelerinde (ya da sizin belirlediğiniz herhangi bir aksiyonda) ilgili aktivitenin kaynak ip’sini belirli bir süre banlamak için kullanılan bu güzel uygulamanın kurulumu, yapılandırması ve özelleştirilmesinden bahsedeceğim.
Linuxlar’da SSH üzerinden Root Erişiminin Engellenmesi
 |
Bildiğiniz gibi Linux tabanlı bir çok sistemde, ssh üzerinden direk olarak root kullanıcısı ile login olma yetkisi açık şekilde geliyor. Bu durum, herhangi bir firewall arkasında olmayıp da ssh portu (22) dışarıya açık olan sunucular için ciddi bir risktir. Zira, root passwordunuzu öğrenmeyi başarmış herkes, sisteminize root yetkileri ile ssh üzerinden login olabilir. Bu nedenle, böyle durumlar için yapmanız gereken ilk iş, sshd’nin root kullanıcısı için direk erişim yetkisi vermememesini sağlamaktır. Bu işi, sshd’nin yapılandırma dosyasında yapılacak küçük bir değişiklikle gerçekleştirebilirsiniz. |
İşte nasıl yapıldığı:
ELS – Easy Linux Security Script
ELS (Easy Linux Security), Linux sunucularda bazı güvenlik ve optimizasyon ayarlarını otomatik olarak yapmaya olanak sağlayan güzel bir shell scriptidir. Bu script, normalde manuel olarak yapabileceğiniz bir çok security ve optimization ayarını, tek bir komut ile sizin yerinize kolayca gerçekleştirebiliyor.
Kurulumu ve kullanımı bir hayli kolay olan ELS’yi aşağıdaki Linux dağıtımlarında kullanabiliyorsunuz.
Desteklenen OS’ler
- Red Hat Linux
- Red Hat Enterprise Linux
- Fedora Core
- CentOS
- Debian
Scriptin yaptığı işlemlerin bazıları şu şekilde:
Apache için mod_security Kurulumu
 |
Modsecurity olarak da bilinen ve bir apache modülü olarak çalışan mod_security, web uygulamalarının güvenliğini sağlamak amacıyla geliştirilmiş bir web application firewall (WAF) yazılımıdır.Bilindiği gibi bir web sunucusu üzerinde çalıştırılan web uygulamalarının kodsal bakımdan ne kadar güvenli olup olmadığını bilmek herzaman için kolay olabilen bir şey değildir; buna rağmen çalışan bu uygulamalar herhangi bir açık içeriyorsa bu durumun can sıkan sonuçları olabilir. İşte bu gibi durumların önüne geçebilmek için mod_security isimli apache modülünü kullanmak oldukça yerinde olacaktır. Kuruluma geçmeden önce konuyla ilgili biraz detay vermek istiyorum. |
Herhangi bir açık içeren kod parçasına sahip bir yazılım nedeni ile sunucunuz ciddi anlamda risk altında olabilir. Yazinin devami icin tiklayin.
Flash Player ClickJacking açığı için upgrade
 |
26 Eylül’de US-CERT tarafından Flash Player’lar için ClickJacking denilen saldırı tipine olanak sağlayan bir güvenlik açığının varlığı duyurulmuştu. Detaylarına US-CERT’in ilgili raporundan ulaşabileceğiniz bu açık, kısaca temiz olduğunu düşündüğünüz ya da tuzak olarak hazırlanmış web sitelerindeki herhangi bir linke tıkladığınızda “aslında başka bir kaynaktaki bir linke tıklamış olmanızın” sağlanması şeklinde cereyan ediyor. Yani saldırgan, web sitelerindeki linkleri istediği şekilde yönetebiliyor ve bilgisayarınızda zararlı kodlar çalıştırılmasını sağlayabiliyor. |
Flash Player, hemen tüm browserlarla uyumlu olarak çalıştığı ve internet üzerinde flash content barındıran yığınla site olduğundan dolayı bu açığın kapsama alanı epey geniş. Ayrıca, çok kolay ve çok çeşitli yöntemlerle uygulanabilecek bir saldırıya zemin hazırladığından dolayı önemi daha da artıyor. Bu açığın giderilmesi için bir kaç gün öncesine kadar (15 Ekim 2008) herhangi bir patch vs. yayınlanmamıştı. Sadece flash player’in ayarlarından erişim için bir takım yasaklamalar yapmak öneriliyordu.
Cain Abel – Password Recovery
| Windows ortamları için geliştirilmiş olan Cain & Abel unutulan ya da kaybedilen şifreleri tekrar elde etmek için kullanılmanın bir password recovery yazılımı. Ancak şifreleri bulmak için kullandığı yöntemler ve ek özellikleri nedeni ile aslında sadece masum bir password recovery yazılımı demek pek mümkün değil. Çünkü sadece lokal bir bilgisayardaki şifreleri bulmanın ötesinde, network sniffer olarak çalışarak bir LAN üzerindeki herhangi bir bilgisayardan üretilen trafiğin içinde geçen hemen her şifreyi de bulabiliyor. |  |
Hal böyle olunca, -her ne kadar sitesinde açıklama olarak, programın herhangi bir exploit ya da software açığını kullanmadığını, halihazırdaki protokol standartları, şifreleme metodları ve kaşeleme mekanizmalarındaki bilinen zayıf noktaları kullanarak sadece password recovery işlemleri için yazılmış olduğu belirtilse de- Cain & Abel’den masum bir password recovery yazılımıymış gibi bahsetmek pek mümkün değil.
Linux’larda SSH Key Saldırısı
Bilindiği gibi, *nix tabanlı işletim sistemlerine güvenli bir şekilde uzaktan erişmek için kullanılan SSH (Secure Shell), telnet ve rlogin gibi alternatiflerin tersine, bağlantı sırasında her türlü veri trafiğini şifreleyerek güvenliği had safhaya çıkarıyor. Bu nedenle de hemen her sistem yöneticisi remote erişim için SSH’ı tercih ediyor.
Bir SSH bağlantısını, bağlanılmak istenen sisteme direk olarak kullanıcı adı ve şifre göndermek sureti ile gerçekleştirebildiğimiz gibi bağlantıyı SSH Key-Based Authentication isimli yöntemle kullanıcı adı ve şifreye gerek kalmaksızın sağlayabiliyoruz. Yönetiminden sorumlu olduğunuz birden çok *nix tabanlı serverınız olması durumunda Key-Based kimlik doğrulama yöntemi elbette işleri epey kolaylaştırıyor.
