Linux’larda SSH Key Saldırısı
Bilindiği gibi, *nix tabanlı işletim sistemlerine güvenli bir şekilde uzaktan erişmek için kullanılan SSH (Secure Shell), telnet ve rlogin gibi alternatiflerin tersine, bağlantı sırasında her türlü veri trafiğini şifreleyerek güvenliği had safhaya çıkarıyor. Bu nedenle de hemen her sistem yöneticisi remote erişim için SSH’ı tercih ediyor.
Bir SSH bağlantısını, bağlanılmak istenen sisteme direk olarak kullanıcı adı ve şifre göndermek sureti ile gerçekleştirebildiğimiz gibi bağlantıyı SSH Key-Based Authentication isimli yöntemle kullanıcı adı ve şifreye gerek kalmaksızın sağlayabiliyoruz. Yönetiminden sorumlu olduğunuz birden çok *nix tabanlı serverınız olması durumunda Key-Based kimlik doğrulama yöntemi elbette işleri epey kolaylaştırıyor.
Phishing – Western Union
Özellikle insanların önemli bilgilerini çalmak için kullanılan phishing yöntemi yüzünden epey kişinin başı yandı ve yanmaya devam ediyor. Genelde bir bankadan geliyormuş gibi görünen fake mailler ile insanların banka hesap bilgilerini, ilgili bankanın kendi sitesiymiş gibi görünen bir web sayfasına girmeye teşvik etmek ve bu suretle bilgileri çalmak için kullanılan bu yöntemin Türkçe karşılığı yemleme olarak geçiyor.
Bu gün posta kutuma, içeriğini aşağıda görebileceğiniz gibi bir mail aldım. Özetle, Western Union’dan geliyormuş gibi görünen ve Moskova’dan Maksim Zverev isimli bir kişiye gönderdiğim Western Union çekinin güvenlik servisi tarafından bloklandığını, ekteki dosya içerisinde bulunan faturanın çıktısını alarak en yakın Western Union şubesine başvurmamı tembihleyen bir mail düştü. Moskova’da Maksim isimli bir tanıdığım olmadığı ve olsa bile Western Union ile kendisine para göndermemiş olduğumdan dolayı ve ayrıca daha önceden -Akbank’ta bir hesabım bulunmamasına rağmen- Akbank tarafından geliyormuş gibi görünen ve hesap bilgilerimi güncellememi isteyen benzer maillerden dolayı, konu hakkında geçmiş tecrübem sayesinde ekteki zip dosyasına itibar etmedim :)
Mailin içeriği şu şekilde:
DNS Cache Poisoning
 |
Geçenlerde, Huzeyfe Önal’ın bloğunda yeni yayınlanan bir güvenlik açığının haberini okudum ve ilgimi çektiğinden dolayı teknik detayları öğrenmek için biraz araştırdım. Hazır okumuş ve teknik detaylar konusunda fikir edinmişken paylaşmak istedim. DNS cache poisoning olarak geçen bu zafiyet önlem alınmamış DNS serverları kolayca etkileyebilecek türden bir açık. Bu nedenle önemsenmesi ve gerekli güvenlik önlemlerinin alınması gerekiyor. Ne gibi önlemler alınabileceğinden önce, bu zafiyetin tam olarak ne olduğu ve nasıl yapıldığına değinmek istiyorum. Zira, bir dns serverınız varsa ve gerekli önlemleri almamışsanız bu zafiyetten etkilenebilir ve dns serverınızı kullanan kişilere yanlış sorgu sonuçları dönmesine neden olabilirsiniz. İşte konunun teknik detayları: |
DNS Cache Poisoning olarak adlandırılan bu zafiyet aslında ilk olarak 1993 yılında keşfedilmiş bir açık; geçenlerde yayınlanmış olanı ise yeni bir versiyonu. Geçenlerde yayınlanan veryion ile ilgili US-CERT sayfasına aşağıda belirtilen kaynakça bölümünden erişebilirsiniz.
IPFIREWALL ve Snort_Inline ile IPS – Part 2: Snort_Inline Kurulumu
IPFW ve Snort_Inline ile IPS uygulaması ile ilgili olarak http://www.syslogs.org/2008/07/ipfirewall-kurulumu/ linkinden ulaşabileceğiniz bir önceki yazımda IPFIREWALL kurulumuna ait notları paylaşmıştım. IPS uygulaması için ikinci bölüm olan bu yazıda ise Snort ve doğal olarak snort_inline’la ilgili kurulum notlarını bulabilirsiniz.
SNORT NEDİR ?
Snort, açık kaynak kodlu olarak geliştirilen, network tabanlı bir saldırı tespit ve önleme (network intrusion prevention and detection system) yazılımıdır. Adından da anlaşılacağı üzere kullanım amacı, herhangi bir networke dışarıdan yapılan sızma girişimlerini testip etmek ve önlemektir. Offical dökümanlarında yaptığı temel işleri şu şekilde sıralamışlar:
IPFIREWALL ve Snort_Inline ile IPS – Part 1: IPFW Kurulumu
 |
Bir kaç gündür IPFW ve Snort_Inline ile oluşan open source bir IPS sistemini devreye almak için uğraşıyordum. Bu iki bölümlük yazıda kurulumun nasıl yapıldığı ve konfigurasyonlarla ilgili notları paylaşacağım. Siz de networkünüzde IPS olarak IPFW/Snort_Inline ikilisinden yararlanmak isterseniz belki bu döküman işinize yarayabilir.
Zira binlerce dolar ödeyip karşılığında alacağınız bir hardware IPS yerine hiç bir ücret ödemeden bir IPS sistemine sahip olmak cazip bir seçenek olabilir. Kaldıki Snort’un sektörde artık bir standart haline gelmiş olması kafanızdaki şüpheleri ortadan kaldırabilir Önce IPFIREWALL. |
IPFIREWALL NEDİR ?
Namı diğer IPFW, FreeBSD tarafından geliştirilen hem Stateless hem de Statefull firewall mimarisini üzerinde barındıran güzel bir ip tabanlı firewall yazılımıdır. Ayrıca, traffic shaping, transparent forwarding ile NAT ve PATgibi özellikler sağlar. Bu özellikler ile ilgili detayli bilgiyi, dökümanın “ipfw komutları” bölümünde bulabilirsiniz. Öncelikle nasıl kurulduğuna değineceğim.
NASIL KURULUR
Aslında IPFW, FreeBSD ile birlikte loadable module olarak geldiği için NAT uygulaması kullanmak istemeniz haricinde ekstradan herhangi bir kuruluma ihtiyaç duymazsınız. Açılışta firewall’un devreye girmesi için rc.conf dosyasına aşağıdaki satırı girmeniz yeterlidir.
firewall_enable="YES"
Ancak NAT kullanmak istemeniz durumunda (ki snort_inline için gerekmektedir.) kernelinize options IPDIVERT satırını eklemeniz ve yeniden derlemeniz gerekmektedir. Kernelinizi yeniden nasıl derleyebileceğiniz ile ilgili bilgiye, daha önce yazmış olduğum Custom Kernel dökümanından ulaşabilirsiniz.
NAT dışında gerekli olmasa da bilgi olması açısından IPFW’nin kernel opsiyonları şu şekilde.
