Popüler İnternet Kültürü

Yazdığım “Sistem Güvenliği ve Port Reporter Yazılımının Kullanımı” konulu makaleyi;

http://docs.google.com/Doc?id=dhmdchf5_73d7vcxggk

Sistem Güvenliği ve Port Reporter / Serhat DUNDAR / clbr (dot) fentanyl (at) gmail (dot) com

Port Reporter ; Windows Server 2003, Windows XP ve Windows 2000 çalışan bilgisayarlarda bir hizmet olarak çalışır. Araç TCP ve UDP bağlantı noktası etkinliğini günlüğe kaydeder.

Aşağıdaki bilgileri loglayabilir :

* Kullanılan bağlantı noktaları
* Bağlantı noktalarını kullanan işlemler
* İşlemin bir hizmet olup olmadığı
* İşlemin yüklediği modüller
* İşlemi çalıştıran kullanıcı hesapları

Windows 2000 tabanlı bilgisayarlarda, hizmet, kullanılan bağlantı noktalarını ve ne zaman kullanıldıklarını günlüğe kaydeder.

Port Reporter aracı tarafından günlüğe kaydedilen bilgileri kullanarak bağlantı noktası kullanımını izleyebilir ve belirli sorunları giderebilirsiniz. Port Reporter aracı tarafından günlüğe kaydedilen bilgiler güvenlik açısından da yararlı olabilir. Bilgisayarımızın güvenliğini manual olarak incelemek için, yasal olarak şikayette bulunmak istediğimizde somut delil olarak log dosyalarını kullanabiliriz.

1) Kurulum

Port Reporter’i download etmek için “Referanslar” kısmındaki ilk bağlantıya tıklayabilirsiniz.

Port Reporter yazılımını install ettiğinizde C:\Program Files\PortReporter dizini altında PortReporter.exe dosyasını bulabilirsiniz.

Hizmeti başlatmak için Başlat\Çalıştır\services.msc yazıp Hizmetler penceresine ulaşın.

Hizmeti başlatmak için, hizmet adını tıklatın ve soldaki Başlat düğmesini tıklatın. Tamam’ı tıklatın.

Hizmetin başlangıç türünü “Otomatik” olarak seçiniz.

2) Güvenlik

Port Reporter Local System hesabını ile çalıştığı için, Port Reporter’ın yüklü olduğu klasörün güvenlik ayarlarını da yapmalıyız.

Port Reporter’ı yalnızca dosya sistemi NTFS olan bir bölüme yükleyin. FAT dosya sistemine Microsoft artık destek sağlamamaktadır.

C:\Program Files\PortReporter klasörüne sağ tıklayıp Özellikler’i seçin.

Güvenlik sekmesinden yetkilerin sadece SYSTEM ve ADMINISTRATOR’a ait olduğundan emin olun.

Read more…

Engarde Secure Linux, out of the box Linux distribution built for what the name says, Secure (security). Engarde Secure Linux does just that for your server with easy to setup user restrictions, trusted hosts, Firewall protection etc via the GDWT (Guardian Digital WebTool).

Download

ENGARDE SECURE LINUX

Çoğumuzun bilgisayarında başkalarının görmesini istemediğimiz gizli dosyalarımız veya klasörlerimiz vardır.Peki bunları en basit ve en güvenli şekilde nasıl şifreleriz ?

Piyasada bir çok uyduruk dosya şifreleme programı var.Bunları kesinlikle kullanmayın çünkü en ufak bir hatada program tarafından şifrelenmiş dosyalar bir daha açılamıyor ve doğal olarak belgelerinizi kaybetmiş oluyorsunuz.

Benim göstereceğim yöntem son derece güvenli ve herhangi bir program kullanmadan olacak.

Çoğumuzun bildiği permler yani izinler ile :)

Buyrun başlayalım :

1-) Öncelikle C\fenty\gizli_klasor adı gibi bir dizin oluşturduğumuzu var sayıyorum.Yani klasörün adı gizli_klasör olacak diyelim ki.

Araçlar/Klasör Seçenekleri/Görünüm menüsünden Basit dosya paylaşımını kullan seçeneğindeki işareti kaldırıyoruz. OK leyip kapatın bu sayfayı.

2-) Gizleyeceğiniz klasöre sağ tıklayın Özelliklere girin. Üstte yeni seçenekler göreceksiniz. Bunlardan “Güvenlik” seçeneğine giriyoruz. Admisintratordaki tüm izinleri kaldırıyoruz.

“Tamam”a tıklayarak çıkıyoruz. Artık siz istemediğiniz sürece kimse bu klasöre GİREMEZ. Aynı zamanda klasörün içinde yine izinlerle korunmuş bir dosya ver ise SİLEMEZ.
Eğer bu menünün kurcalanmasından korkunuz varsa tekrar görünüm menüsüne girerek basit dosya paylaşımını aktif halle getirebilirsiniz.

Clbr.FenTanyL@GMail.com

Hemen her gün çeşitli işlerim için openssl’i kullanıyorum. Ara ara da arkadaşlardan bunu openssl’le nasil yaparim, openssl’in şu komutu ne işe yarardı gibisinden sorular aliyorum. Uzun zaman once bu konuda birseyler yazmistim ama usb diskimi Izmir’de kaybetmem sonrasi yayınlayamadım. Sonra tekrar hazırladım ve tekrar usb diskimi kaybettim. Pazar gunu biraz vakit bulunca hem egitim notlarina ekleyeceklerimi gozden gecirdim hem de bu konuda sık karşılaştığım soruları içeren openssl mini howto’sunu yazmaya oturdum. Eger yazı yayınlanırsa bilin ki bu sefer usb diskimi kaybetmedim:)

Yazı hazırlarken benim için  en zor bölümü giriş kısmıdır. Üzerine yazdığım konu ile ilgili temel ifadeleri yazmakta o kadar zorlanırım ki bazen sırf bunu aşamadığım için yazıyı bırakırım. Masaüstümde adı konulmuş içeriği doldurulmuş ama giriş bölümü hazırlanmamış onca belge var. bu sefer de aynı akibete ugramamak icin dogrudan icerige giriyorum. Temel seyleri merak edenler konu hakkında daha fazla bilgi bulabilecekleri arama motorlarına danışmalı.

Ilk Not: Openssl kullanarak aklınza gelebilecek her tür şifreleme/encoding(turkcesi ne ola ki?) ve tersi işlemler yapılabilir.

Read more…

2009 Shmoo konferansinda sunulan ve ardindan betasi yayinlanan Backtrack Security Live CD’nin onceki surumlerle en belirgin farki isletim sisteminin Slax’dan Debian’a gecilmis olmasi. Dagitim cikmadan birkac hafta oncesinde egitimlerde kullanmak uzere yeni bir dagitim arasiyina girmistim. Arayislarim sonucu isimi tam goren bir dagitim bulamadigim icin Ubuntu’yu deneyip katilimcilara Vmware imaji olarak vermeyi kararlastirdim. Boylece hem Backtrack’teki bulunan tum ozellikleri yeni dagitima aktaracaktim hem de Backtrack’in yeni paket ekleme, guncelleme gibi sorunlari ile ugrasmayacaktim.

Derken Backtrack 4 beta yayınlandı ve sanki arkadaslarin beni duymus gibi dagitimin temelini Slax’dan Debian’a aktardiklarini gordum ve aklin yolu birdir gercegini bir kez daha yasadim. Boylece belki bir ayi alacak bir ugrastan kurtulmus oldum. Kurtulmus olmasina kurtuldum ama denemek icin masaustune kurdugum Ubuntu’dan da cok hoslandim. Yaklasik 9 yildir Linux kullaniyorum ama Linux tarafinda RedHat’ten hic vazgecmedim. Ubuntu benim icin bir ilk oldu ve boyle giderse de kalici olacak. Masaustunde Ubuntu’yu kurmusken tekrar Backtrack’i sistemime kurup ughrasmak istemedim ama Backtrack ile birlikte gelen paketleri de sistemime kurmak istiyordum.

Backtrack ile birlikte gelen paketler cogu farkli depolarda olmak uzere Ubuntu icin de bulunabilirdi fakat bu cog ugras gerektiren bir is. Ben de Backtrack’in source.list dosyasina bakarak ilgili paketkleri hangi depodan aldigini gorendim ve kendi sistemime o depoyu ekledim.

Backtrack 4 paketlerinin bulundugu depoyu kendi sistemimize eklemek icin asagidaki komutlari vermemiz yeterli.

#wget -q http://repo.offensive-security.com/dist/bt4/binary/public-key -O- | sudo apt-key add –

#echo “deb http://repo.offensive-security.com/dist/bt4 binary/” >> /etc/apt/sources.list

#sudo apt-get update

Bundan sonra ister apt-get install komutu ile ister Synaptic ile Backtrack deposundaki paketler kullanılabilir.

http://blog.lifeoverip.net/2009/02/21/backtrack-4-ve-ubuntu/

Bu makalemizde Windows Server 2008 Active Directory Servislerinde gelen fine-grained password policies konusu ile ilgili detayları sizlerle paylaşıyor olacağım.

Server 2008 öncesi işletim sistemlerinde active domain yapısı için yalnızca tek bir password policy uygulanabiliyordu ve onu da domain seviyesinden uygulayabiliyorduk. Ve bu uygulanan policy’de domain içerisindeki tüm kullanıcılara etki ediyordu. Password policy ayarları içerisinde kullanıcıların kullanacakları şifrenin minimum karakter sayısı, yenilenme süresi, kompleks olma özelliği gibi kuralları içermektedir. Çoğu sektördeki sistem yöneticiler password policy ayarlarının OU seviyesinden de uygulanarak sadece o OU içerisindeki kullanıcıları etkilediğini düşünürler ki, bu düşünce tamamen yanlıştır. Domain altındaki OU’lar üzerinden uygulanan password policy ayarları sadece o OU içerisinde bulunan bilgisayarların yerel kullanıcı hesaplarını(local user account) etkilemektedir.

Read more…

Birden fazla internet hattina sahipsiniz ve bu hatlari belirli isler icin paylastirmak istiyorsunuz. Bunun icin kullandiginiz guvenlik duvarinin birden fazla hatti kontrol edebiliyor olmasi lazim. Daha teknik bir ifade ile Firewall’unuz “policy based routing” desteklemeli. Hem Linux Iptables  hem de OpenBSD Packet Filter bu isi oldukca iyi basariyor.

Mesela mail sunucunuzu LeaseLine uzerinden calistirmak, ic ag kullanicilarinizi da ADSL hatti uzerinden internete cikarmak , otesinde Proxy kullanarak bazi kullanicilari bir hattan bazilarini baska hattan cikarmak isteyebilirsiniz. Burada da Squid yardiminiza kosar. Squid’de bulunan tcp_outgoing_address tanimlamalari ile belirli kullanicilari x hattina belirli kullanicilari y hattina yonlendirerek hatlarinizi daha verimli kullanabilirsiniz.

Uye oldugum listelerde en cok sorulan sorulardan birisi Squid’i cift hatli ortamlarda kullanma uzerine oluyor ve genelde bu sorular cevapsiz kaliyor.

Bu konuda uzun suredir birseyler yazmayi planliyordum ama gercekten uzun surdu:). Ben de daha da uzun surmesin diye birkac satirla nasil yapilacagini anlatan bir yazi hazirladim.

Read more…

grep komutu: UNIX/Linux sistemlerde text dosyalarla uğraşıyorsanız grep komutunun hayati önemini bilirsiniz.  Mesela  100000 satirlik bir dosya icerisinde sayi ile baslayan satirlari ve bu satirlar icerisinde “passwd” stringi geçenleri bulmak icin grep komutu tek basina yeterli olacaktir.

Ya da web sunucunuzun ürettiği erişim logları arasında googlebot’un kaç kere sitenize uğradığını öğrenmek istiyorsanız basit bir grep komutu ve wc ile hesaplayabilirsiniz.

#grep  googlebot /var/log/web_sunucu_erisimlogu|wc -l

Grep’in gücüne güç katan ise düzenli ifadelerle(regular expressions) birlikte kullanabilmemizdir.

Ngrep: grep benzeri bir yazılım fakat klasik dosyalarda değil de ağ trafiğinde arama/bulma işlemi yapar. Kısaca UNIX sistemlerin vazgecilmez aracı grep komutu’nun network trafiğine uyarlanmış versiyonudur diyebiliriz.

Ngrep ile Neler yapabiliriz?

Tamamen hayal dünyamızın genişliğine kalmış.

Read more…

Günümüzde sağlam bir audit altyapısı olmayan işletim sisteminin ticari ortamlarda kullanımı oldukça zorlaşıyor. Gerek güvenlik gerek yine güvenliğe dayanan çeşitli kanunlar,  düzenlemeler ve standartlar kullanılacak tüm sistemlerin sağlıklı audit altyapısına sahip olmasını şart koşuyor.

Audit altyapisindan kastım kullanılan sistemin kim tarafından ne zaman ve  nasıl kullanıldığının kayıt altına alınması. Bu altyapı işletim sistemi için belki çalıştırılan bir komut ya da bir dosya üzerinde yapılan değişikliklerin incelenmesi, veritabanı için  belirli bir tablodaki hareketliliğin gözlenmesi olabilir.

Audit altyapisini pasif olarak calisan IDS’lere benzetmek mümkündür. Her ikisi de kendisine verilen çeşitli parametrelere uygun bir şekilde trafiği/hareketleri izle ve loglar.

Read more…

Linux/UNIX kullanirken sistemin durumunu izlemek icin cesitli araclar kullaniyoruz. Bunlardan cogu sistemle ilgili bilgileri kisaltmalarla vermekte boyle olunca da

ciktilari anlamak icin kisaltmalari ogrenmek -ve hatta ezberlemek- gerekiyor.

Bunun icin BSD sistemlerde systat kullanıyorum. systat *BSD sistemlerde anlık istatistiki bilgiler(network, cpu, disk vs) almak için kullanılan yararlı bir program.

Systat kullanarak sisteme ait gereksinim duyulan çoğu bilgi kolaylıkla alınabilir.

Temel kullanim sekli

#systat -parametre1 yenileme_sıklığı

parametre1 alanina icmp, icmp6,ifstat, iostat, ip, ip6, mbufs, netstat, pigs, swap, tcp, ve vmstat degerlerinden biri gelebilir.

Ağ arabirimlerinden geçen anlık trafik bilgisini öğrenme

#systat -ifstat 3

Read more…

Ilk ciktiginda nasil yapilacagi konusunda birseyler yazmistim burada bulunmasinda da fayda gordugum icin tekrar yaziyorum.  Linux-FreeBSD arasinda OpenSSH’i kullanarak pointo-to-point VPN yapmak icin asagidaki adimlari izlemeniz yeterli olacaktir.

Not-1:noktadan noktaya VPN kurulumu icin sshd-config dosyasinda PermitTunnel secenegi yes olmali.
Not-2: VPN Tüneli kurulabilmesi için SSH’in root kullanıcısına izin vermiş olması gerekir. Bunun için sshd_config dosyasındaki PermitRootLogin yes olmalıdır.

PermitTunnel yes
PermitRootLogin yes

Örnek;

Site1(++)–GW1–internet–GW2(5.6.7.1)–Site2(++)
yukarıdaki sistemde site1 ile site2 arasında VPN yapmak istiyoruz.
Bunun için gerekli ssh ve ip yapilandirmasi..

Site1;

#ssh -w0:0 5.6.7.1

bu adimdan sonra her iki tarafta tun0 arabirimleri açılacak ve up hale gelecektir.

–w0:0 parametresindeki 0:0 local ve uzak sistemdeki tun arabirimlerinin isimlendirmesini sağlar. Yani her iki tarafta da oluşacak arabirimler tun0 olacaktır.

Read more…

IDS nin gelişiminde bir sonraki aşama

Peki tam olarak nedir bu IPS? Birçok terim de olduğu gibi bu onu kime sorduğunuza bağlı. IPS nin tanımı şudur; kullandığımız bu program, her türlü aygıtta (hardware yada software) bilinen yada bilinmeyen saldırıları tespit etme ve saldırı başarılı olmadan onu önlemesi için kullanılır. Şimdi bu firewall lar TCP sayı zincirlerinin izini takip edebilir ve belli tipteki (kırmızı kod ve Nimda gibi) trafikleri engelleme yeteneğine sahiptirler böylece içeri girişleri engelleyen sistemler gibi çalışabilirler. Bununla birlikte bu bizim ilgileneceğimiz konu değil. Tersine bu makale IPS nin saldırıları kademe kademe önleyen ki birçok firewall bu şifre kırmayı yapamadı, en azından şu ana kadar, beş ayrı türünü inceleyecek. Beş çeşit IPS ki biz bunları NIDS, uygulama merkezli firewall-IDSler, yedi katman anahtarlar, şebeke merkezli uygulama IDSler ve aldatıcı uygulamalar.

İÇ HAT ŞEBEKE KAÇAK GİRİŞLERİ AÇIĞA ÇIKARTAN SİSTEMLER

Birçok NIDS iki NIC ile düzenlenir, biri yönetim için diğeri açığa çıkartmak için (ilk resimdeki gibi). Açığa çıkartmak için düzenlenen NIC genellikle kendisi için belirlenmiş bir IP adresine sahip değildir onun için ”gizlenmiş” (başka bilgisayardan çekilmiş) bağlantı yapılır. Kendisine ait bir IP adresi olmadığı için hiç kimse ona paket gönderemez ya da NIDS den kaynaklı (başka bilgisayardan çekilmiş) bağlantı üzerinden yanıtlanır.

Read more…

Bu metinde genelinde win2000’nın ilk kurulumundan sonra sisteminizi daha güvenli hale getirmek için yapabileceğiniz işlemlerden bahsedeceğim. Öncelikle herhangi bir işletim sistemi üstünde güvenlikle ilgili çalışmalara başlamadan bilgisayarınıza yapmanız gereken ufak düzenlemelerden bahsedip, ardından win2000 sisteminizi daha güvenli hale getirmek için gerekli olan işlemleri anlatıcağım. Bunlar arasında gereksiz servislerin kapatılması, “system policy”nin ayarlanması, TCP/IP bağlantılarını filitrelendirmesi, hotfix ve SP’lerin önemi, korunması gerekli önemli dosyalar ve bunlara ek olabilecek ufak tefek bir kaç konu daha var. Başlıklar halinde sıralamak gerekirse:

• Fiziksel güvenlik
• Gerekli servisler
• Hotfix ve SP’lerin(Service Pack) önemi
• System policy ayarları
• Gereksiz altsistemlerin kaldırılması
• Önemli dosyaların korunması
• TCP/IP süzgeçlenmesi
• Ufak tefek işler

Fiziksel güvenlik:

Bilgisayarına kurlu olan herhangi bir işletim sistemin güvende olmasını ve dosyalarının kendisi ve izin verdiği kişiler dışınızdaki birileri tarafından değiştirilmemesi veya silinmemesini istemek her kulanıcının hakkıdır. Ama bunu gerçekleştrimek için bilgisayarı işletim sistemini aktif hale geçirmeden önce ve işletim sistemine giriş yaparken yapması gereken bazı işlemler var.
Bilgisayarınız açılırken eğer sizin dışınızda birileri BIOS’unuza kolayca girebiliyorsa ve burada yaptığı değişiklikleri aktif hale getirebiliyorsa bazı sorunlarla karşılaşma olasılığınız artıyor. Her ne kadar yeni bilgisayarların çoğunda BIOS’a nasıl girileceği başlangıçta gözükmese de bilen bir insan rahatlıkla BIOS içinde yapıcağı değişikliklerle ister bilgilerinizi çalma (öğrencilerin notlerını çalınması), ister biligilerinizi yok etme (tezinizin veya projenizin bulunduğu sabit diskin silnmesi) başarılı olabilir. Bu tür bir riski engellemek için BIOS’a girip sadece sizin aklınızda kalıcak biraz karmaşık bir şifre koyun (bu işlemi adım adım anlatamıyorum çünkü bir çok çeşit BIOS ekranı var ama hepsinde bir “password” seçeneği var.). Ama şifrenizi “sevdiğiniz bir arkadaşınızın adı, doğum tarihiniz, kedinizin adı, vb” gibi kolay tahmin edilicek kelimeler arasından atamayın. Biraz harf ve sayılar birlikte olsun.

Read more…

Saklama, yönlendirme ve yeniden saklama işlemlerinin tümüne tünel oluşturma adı verilir. Tünel oluşturma, özgün paketi yeni bir paket içine gizler veya saklar. Bu yeni paketin, ağlar arasında dolaşmasını sağlayan yeni adresleme ve yönlendirme bilgileri olabilir. Tünel oluşturma gizlilikle birleştirildiği zaman, özgün paket verisi mesela özgün kaynak ve hedef gibi… ağdaki trafiği dinleyenlere gösterilmez. Ağ herhangi bir iç ağ olabilir: özel bir intranet veya Internet. Saklı alınan paketler hedeflerine ulaştığında, saklama üstbilgisi kaldırılır ve paketi son hedefe yönlendirmek için özgün paket üstbilgisi kullanılır. Tünelin kendisi, içinden saklı paketlerin geçtiği mantıksal veri yoludur. Tünel genellikle özgün kaynak ve hedef çiftine saydamdır ve ağ yolunda başka bir noktadan noktaya bağlantı olarak görünür. Çiftler, tünelin başlangıç ve bitiş noktaları arasındaki yönlendiricilerden, anahtarlardan, proxy sunucularından veya diğer güvenlik ağ geçitlerinden haberdar değillerdir. Tünel oluşturma gizlilikle birleştirildiğinde, Sanal özel ağ sağlamak için kullanılabilir.

Windows 2000`de, IPSec kullanan iki tünel türü sağlanır.
L2TP`nin her türlü ağ trafiği ve aktarım modundaki IPSec için saklama ve tünel yönetimi sağladığı katman 2 Tünel iletişim Kuralı (L2TP/IPSec) L2TP tünel paketlerinin güvenliğini sağlar.
IPSec`in kendisinin yalnızca IP akışı için sakladığı tünel modundaki IPSec
Bu tünelleri kullanmadan önce işlevsel özelliklerinin tam olarak kavranması gerekir.
Saklı paketler tünel içinde ağda gezinir.Bendeki anlatımda, ağ Internet`tir:) Ağ geçidi, Internet dünyası ile özel ağ (yönlendirici, koruma duvarı, proxy sunucusu veya diğer güvenlik ağ geçitleri) arasında bir sınır geçidi olabilir. Ayrıca ağın az güvenilir olduğu kısımlarındaki veri akışını korumak için özel ağ içerisinde iki ağ geçidi kullanılabilir.

Read more…

IPSec tanımı
Internet Protocol Security (IPSec) güvenli haberleşmeler sağlamak ve IP ağları üzerinde kişisel gizliliği korumak için standartlar üzerine kurulmuş bir yapıdır. IPSec RFC (Requests for Comments) 2401-2411 de tanımlanmış olan bir IETF (Internet Engineering Task Force) standartıdır. Çoğu ağların güvensiz olduğu ve kablo üzerinde seyahat ederken verileri korumak için ek komponentler gerektirdiği düşüncesinden yola çıkarak IPSec kaynak kimlik tanılama, bütünlük kontrolü ve içerik gizliliği sağlamaktadır.

Kimlik Tanılama
IPSec`in kullandığı protokollerden biri “Kimlik Tanılaması Başlığı”dır (AH-Authentication Header). AH tüm datagram`ın bir “sağlama toplamını” (checksum) içermektedir ve IPSec datagram`ındaki orjinal IP başlığından sonraya yerleştirilir. AH aşağıdakilerden oluşur:
Sonraki başlığı (Next Header) Orjinal IP başlığının protokol numarası.
Yük boyutu (Payload Length) Kimlik tanılaması başlığının uzunluğu.
Güvenlik Parametre İndeksi (Security Parameter Index – SPI) Kimlik tanılama başlığı bağlantılarını diğerlerinden ayırmayı mümkün kılan 32-bitlik bir seri numara
Sıra Numarası (Sequence Number) Replay koruması için Kimlik Tanılaması datagram`ının seri numarası
Bütünlük Kontrol Değeri (Integrity Check Value-ICV) AH datagram`ının kriptografik bir bütünlük sağlama toplamı (checksum).

Read more…