Modsecurity olarak da bilinen ve bir apache modülü olarak çalışan mod_security, web uygulamalarının güvenliğini sağlamak amacıyla geliştirilmiş bir web application firewall (WAF) yazılımıdır.Bilindiği gibi bir web sunucusu üzerinde çalıştırılan web uygulamalarının kodsal bakımdan ne kadar güvenli olup olmadığını bilmek herzaman için kolay olabilen bir şey değildir; buna rağmen çalışan bu uygulamalar herhangi bir açık içeriyorsa bu durumun can sıkan sonuçları olabilir. İşte bu gibi durumların önüne geçebilmek için mod_security isimli apache modülünü kullanmak oldukça yerinde olacaktır. Kuruluma geçmeden önce konuyla ilgili biraz detay vermek istiyorum.

Herhangi bir açık içeren kod parçasına sahip bir yazılım nedeni ile sunucunuz ciddi anlamda risk altında olabilir. Yazinin devami icin tiklayin.

26 Eylül’de US-CERT tarafından Flash Player’lar için ClickJacking denilen saldırı tipine olanak sağlayan bir güvenlik açığının varlığı duyurulmuştu. Detaylarına US-CERT’in ilgili raporundan ulaşabileceğiniz bu açık, kısaca temiz olduğunu düşündüğünüz ya da tuzak olarak hazırlanmış web sitelerindeki herhangi bir linke tıkladığınızda “aslında başka bir kaynaktaki bir linke tıklamış olmanızın” sağlanması şeklinde cereyan ediyor. Yani saldırgan, web sitelerindeki linkleri istediği şekilde yönetebiliyor ve bilgisayarınızda zararlı kodlar çalıştırılmasını sağlayabiliyor.

Flash Player, hemen tüm browserlarla uyumlu olarak çalıştığı ve internet üzerinde flash content barındıran yığınla site olduğundan dolayı bu açığın kapsama alanı epey geniş. Ayrıca, çok kolay ve çok çeşitli yöntemlerle uygulanabilecek bir saldırıya zemin hazırladığından dolayı önemi daha da artıyor. Bu açığın giderilmesi için bir kaç gün öncesine kadar (15 Ekim 2008) herhangi bir patch vs. yayınlanmamıştı. Sadece flash player’in ayarlarından erişim için bir takım yasaklamalar yapmak öneriliyordu.

Yazinin devami icin tiklayin.

Windows ortamları için geliştirilmiş olan Cain & Abel unutulan ya da kaybedilen şifreleri tekrar elde etmek için kullanılmanın bir password recovery yazılımı. Ancak şifreleri bulmak için kullandığı yöntemler ve ek özellikleri nedeni ile aslında sadece masum bir password recovery yazılımı demek pek mümkün değil. Çünkü sadece lokal bir bilgisayardaki şifreleri bulmanın ötesinde, network sniffer olarak çalışarak bir LAN üzerindeki herhangi bir bilgisayardan üretilen trafiğin içinde geçen hemen her şifreyi de bulabiliyor.

Hal böyle olunca, -her ne kadar sitesinde açıklama olarak, programın herhangi bir exploit ya da software açığını kullanmadığını, halihazırdaki protokol standartları, şifreleme metodları ve kaşeleme mekanizmalarındaki bilinen zayıf noktaları kullanarak sadece password recovery işlemleri için yazılmış olduğu belirtilse de- Cain & Abel’den masum bir password recovery yazılımıymış gibi bahsetmek pek mümkün değil.

Yazinin devami icin tiklayin.

Bilindiği gibi, *nix tabanlı işletim sistemlerine güvenli bir şekilde uzaktan erişmek için kullanılan SSH (Secure Shell), telnet ve rlogin gibi alternatiflerin tersine, bağlantı sırasında her türlü veri trafiğini şifreleyerek güvenliği had safhaya çıkarıyor. Bu nedenle de hemen her sistem yöneticisi remote erişim için SSH’ı tercih ediyor.

Bir SSH bağlantısını, bağlanılmak istenen sisteme direk olarak kullanıcı adı ve şifre göndermek sureti ile gerçekleştirebildiğimiz gibi bağlantıyı SSH Key-Based Authentication isimli yöntemle kullanıcı adı ve şifreye gerek kalmaksızın sağlayabiliyoruz. Yönetiminden sorumlu olduğunuz birden çok *nix tabanlı serverınız olması durumunda Key-Based kimlik doğrulama yöntemi elbette işleri epey kolaylaştırıyor.

Yazinin devami icin tiklayin.

Özellikle insanların önemli bilgilerini çalmak için kullanılan phishing yöntemi yüzünden epey kişinin başı yandı ve yanmaya devam ediyor. Genelde bir bankadan geliyormuş gibi görünen fake mailler ile insanların banka hesap bilgilerini, ilgili bankanın kendi sitesiymiş gibi görünen bir web sayfasına girmeye teşvik etmek ve bu suretle bilgileri çalmak için kullanılan bu yöntemin Türkçe karşılığı yemleme olarak geçiyor.

Bu gün posta kutuma, içeriğini aşağıda görebileceğiniz gibi bir mail aldım. Özetle, Western Union’dan geliyormuş gibi görünen ve Moskova’dan Maksim Zverev isimli bir kişiye gönderdiğim Western Union çekinin güvenlik servisi tarafından bloklandığını, ekteki dosya içerisinde bulunan faturanın çıktısını alarak en yakın Western Union şubesine başvurmamı tembihleyen bir mail düştü. Moskova’da Maksim isimli bir tanıdığım olmadığı ve olsa bile Western Union ile kendisine para göndermemiş olduğumdan dolayı ve ayrıca daha önceden -Akbank’ta bir hesabım bulunmamasına rağmen- Akbank tarafından geliyormuş gibi görünen ve hesap bilgilerimi güncellememi isteyen benzer maillerden dolayı, konu hakkında geçmiş tecrübem sayesinde ekteki zip dosyasına itibar etmedim :)

Mailin içeriği şu şekilde:

Yazinin devami icin tiklayin.

Geçenlerde, Huzeyfe Önal’ın bloğunda yeni yayınlanan bir güvenlik açığının haberini okudum ve ilgimi çektiğinden dolayı teknik detayları öğrenmek için biraz araştırdım. Hazır okumuş ve teknik detaylar konusunda fikir edinmişken paylaşmak istedim. DNS cache poisoning olarak geçen bu zafiyet önlem alınmamış DNS serverları kolayca etkileyebilecek türden bir açık. Bu nedenle önemsenmesi ve gerekli güvenlik önlemlerinin alınması gerekiyor. Ne gibi önlemler alınabileceğinden önce, bu zafiyetin tam olarak ne olduğu ve nasıl yapıldığına değinmek istiyorum. Zira, bir dns serverınız varsa ve gerekli önlemleri almamışsanız bu zafiyetten etkilenebilir ve dns serverınızı kullanan kişilere yanlış sorgu sonuçları dönmesine neden olabilirsiniz. İşte konunun teknik detayları:

DNS Cache Poisoning olarak adlandırılan bu zafiyet aslında ilk olarak 1993 yılında keşfedilmiş bir açık; geçenlerde yayınlanmış olanı ise yeni bir versiyonu. Geçenlerde yayınlanan veryion ile ilgili US-CERT sayfasına aşağıda belirtilen kaynakça bölümünden erişebilirsiniz.

Yazinin devami icin tiklayin.

IPFW ve Snort_Inline ile IPS uygulaması ile ilgili olarak http://www.syslogs.org/2008/07/ipfirewall-kurulumu/ linkinden ulaşabileceğiniz bir önceki yazımda IPFIREWALL kurulumuna ait notları paylaşmıştım. IPS uygulaması için ikinci bölüm olan bu yazıda ise Snort ve doğal olarak snort_inline’la ilgili kurulum notlarını bulabilirsiniz.

Snort, açık kaynak kodlu olarak geliştirilen, network tabanlı bir saldırı tespit ve önleme (network intrusion prevention and detection system) yazılımıdır. Adından da anlaşılacağı üzere kullanım amacı, herhangi bir networke dışarıdan yapılan sızma girişimlerini testip etmek ve önlemektir. Offical dökümanlarında yaptığı temel işleri şu şekilde sıralamışlar:

Yazinin devami icin tiklayin.

Bir kaç gündür IPFW ve Snort_Inline ile oluşan open source bir IPS sistemini devreye almak için uğraşıyordum. Bu iki bölümlük yazıda kurulumun nasıl yapıldığı ve konfigurasyonlarla ilgili notları paylaşacağım. Siz de networkünüzde IPS olarak IPFW/Snort_Inline ikilisinden yararlanmak isterseniz belki bu döküman işinize yarayabilir. Zira binlerce dolar ödeyip karşılığında alacağınız bir hardware IPS yerine hiç bir ücret ödemeden bir IPS sistemine sahip olmak cazip bir seçenek olabilir. Kaldıki Snort’un sektörde artık bir standart haline gelmiş olması kafanızdaki şüpheleri ortadan kaldırabilir Önce IPFIREWALL.

Namı diğer IPFW, FreeBSD tarafından geliştirilen hem Stateless hem de Statefull firewall mimarisini üzerinde barındıran güzel bir ip tabanlı firewall yazılımıdır. Ayrıca, traffic shaping, transparent forwarding ile NAT ve PATgibi özellikler sağlar. Bu özellikler ile ilgili detayli bilgiyi, dökümanın “ipfw komutları” bölümünde bulabilirsiniz. Öncelikle nasıl kurulduğuna değineceğim.

Aslında IPFW, FreeBSD ile birlikte loadable module olarak geldiği için NAT uygulaması kullanmak istemeniz haricinde ekstradan herhangi bir kuruluma ihtiyaç duymazsınız. Açılışta firewall’un devreye girmesi için rc.conf dosyasına aşağıdaki satırı girmeniz yeterlidir.

firewall_enable="YES"

Ancak NAT kullanmak istemeniz durumunda (ki snort_inline için gerekmektedir.) kernelinize options IPDIVERT satırını eklemeniz ve yeniden derlemeniz gerekmektedir. Kernelinizi yeniden nasıl derleyebileceğiniz ile ilgili bilgiye, daha önce yazmış olduğum Custom Kernel dökümanından ulaşabilirsiniz.

NAT dışında gerekli olmasa da bilgi olması açısından IPFW’nin kernel opsiyonları şu şekilde.

Yazinin devami icin tiklayin.