Popüler İnternet Kültürü

2009 Shmoo konferansinda sunulan ve ardindan betasi yayinlanan Backtrack Security Live CD’nin onceki surumlerle en belirgin farki isletim sisteminin Slax’dan Debian’a gecilmis olmasi. Dagitim cikmadan birkac hafta oncesinde egitimlerde kullanmak uzere yeni bir dagitim arasiyina girmistim. Arayislarim sonucu isimi tam goren bir dagitim bulamadigim icin Ubuntu’yu deneyip katilimcilara Vmware imaji olarak vermeyi kararlastirdim. Boylece hem Backtrack’teki bulunan tum ozellikleri yeni dagitima aktaracaktim hem de Backtrack’in yeni paket ekleme, guncelleme gibi sorunlari ile ugrasmayacaktim.

Derken Backtrack 4 beta yayınlandı ve sanki arkadaslarin beni duymus gibi dagitimin temelini Slax’dan Debian’a aktardiklarini gordum ve aklin yolu birdir gercegini bir kez daha yasadim. Boylece belki bir ayi alacak bir ugrastan kurtulmus oldum. Kurtulmus olmasina kurtuldum ama denemek icin masaustune kurdugum Ubuntu’dan da cok hoslandim. Yaklasik 9 yildir Linux kullaniyorum ama Linux tarafinda RedHat’ten hic vazgecmedim. Ubuntu benim icin bir ilk oldu ve boyle giderse de kalici olacak. Masaustunde Ubuntu’yu kurmusken tekrar Backtrack’i sistemime kurup ughrasmak istemedim ama Backtrack ile birlikte gelen paketleri de sistemime kurmak istiyordum.

Backtrack ile birlikte gelen paketler cogu farkli depolarda olmak uzere Ubuntu icin de bulunabilirdi fakat bu cog ugras gerektiren bir is. Ben de Backtrack’in source.list dosyasina bakarak ilgili paketkleri hangi depodan aldigini gorendim ve kendi sistemime o depoyu ekledim.

Backtrack 4 paketlerinin bulundugu depoyu kendi sistemimize eklemek icin asagidaki komutlari vermemiz yeterli.

#wget -q http://repo.offensive-security.com/dist/bt4/binary/public-key -O- | sudo apt-key add –

#echo “deb http://repo.offensive-security.com/dist/bt4 binary/” >> /etc/apt/sources.list

#sudo apt-get update

Bundan sonra ister apt-get install komutu ile ister Synaptic ile Backtrack deposundaki paketler kullanılabilir.

http://blog.lifeoverip.net/2009/02/21/backtrack-4-ve-ubuntu/

FTP, sık kullanılan protokoller(HTTP, SMTP, DNS vs) arasında en sorunlu protokoldür. Diğer protokoller tek bir TCP/UDP portu üzerinden çalışırken FTP birden fazla ve dinamik portlarla çalışır.   Bir Firewall’da HTTP bağlantısını açmak için sadece 80. portu açmanız yeterlidir fakat FTP için 21. portu açmak yetmez.

Zira FTP komutlarin gidip geldiği ve verinin aktığı port olmak üzere iki farklı port üzerinden çalışır. İlk port sabit ve bellidir:21. port fakat veri bağlantısının gerçekleştiği port olan diğer port Aktif FTP ve PAsif FTP kullanımına göre değişir ve eğer firewall FTP protokolünden anlamıyorsa genelde sorun yaşanır.

Çoğu zaman arkadaşlarınızın FTP ye bağlanıyorum ama ls çektiğimde bağlantı kopuyor ya da öylesine bekliyor dediğine şahit olmuşsunuzdur. Bu gibi istenmeyen durumlar FTP’nin karmaşık yapısı ve Firewall’ların protokolden anlamamasından kaynaklanır.

Yeni nesil Firewall’larda bu sıkıntı büyük ölçüde giderilmiş olsa da ara ara eksik yapılandırmalardan aynı hataların yaşandığını görüyoruz. Linux Iptables’da ftp problemini aşmak için mod ftp_conntrack modülünün sisteme yüklenmesi gerekir. OpenBSD Packet Filter ise bu tip aykırı protokoller için en uygun yapı olan proxy mantığını kullanır. FTP için ftp-proxy, upnp için upnp proxy, sip için sip-proxy vs.

FTP protokolü eğer çıkış hattı bir tane ise oldukça rahat çalışır fakat hatlar birden fazla ve bunlar arasında load balance işlemi yapılıyorsa problem yaşatır. Aşağıdaki örnek iki farklı çıkışı olan ve iç ağında VLAN’lere bölünmüş(her bir VLAN ayrı hattan çıkıyor) OpenBSD PF için ftp-proxy’nin sorunsuz kullanımını anlatmaktadır.

—
Problem:ftp-proxy default cikis ip adresinden o interface ait ip adresi ile cikmaya calisir. Sizin isteginiz herbir VLAN ya da ip/subnet için farklı cikis ipleri kullanmaksa klasik ftp-proxy yapılandırması çalışmayacaktır.

—

VLAN_1 _Cikis_IP1
||Firewall-1 || ——Internet
VLAN_2 _ Cikis_IP2

Mesela VLAN1 den gelen paketler Cikis_2 den gitsinler , VLAN_1 den
gelenler Cikis_1den. Cikis_1 ayni zamanda sistemin default_Gw’i olsun.

Bu durumda VLAN1 ve VLAN2 icin iki ayri ftp-proxy calistiracagiz.

VLAN1 icin

ftp-proxy -a Cikis_IP2 -b 127.0.0.1 -p 8021

VLAN2 icin

ftp-proxy -a Cikis_IP1 -b 127.0.0.1 -p 8022

sonra pf.confu su sekilde duzenlemeniz gerekecek.

…
nat-anchor “ftp-proxy/*”
rdr-anchor “ftp-proxy/*”
rdr pass on $int_if proto tcp from VLAN1 to port ftp -> 127.0.0.1 port 8021
rdr pass on $int_if proto tcp from VLAN2 to port ftp -> 127.0.0.1 port 8022
….

anchor “ftp-proxy/*”
pass out on $ext_if1 route-to{($ext_if2 GW2)} from VLAN1 to any

Sonra rdr kurallarinda ilgili vlan’den gelen tcp 21 paketlerini sirasi ile 8021, 8022 portlarina yonlendirmek.

http://blog.lifeoverip.net

Gerek sunucu sistemi gerekse masa-üstü kişisel bilgisayarımız olarak linux , her geçen gün kullanıcı sayısını artırmaktadır. Buna paralel olarak linux çalışan sistemler, kötü niyetli kişilerin daha belirgin bir hedefi haline gelmektedir.
Şu anda mutlu şekilde çalışmamıza izin veren linux`umuz, eğer gerekli önlemleri almazsak farkında bile olmadan başımızı ciddi belaya sokabilir. Bu belgede linux`a yeni başlayanlar ve orta derecede linux bilenler için birtakım güvenlik önlemlerinin nasıl alınacağını anlatmaya çalıştık. Bu önlemlerin bir kısmı tek aşamada ve basit bir şekilde yapılabileceği gibi bir kısmı da periyodik olarak ve özen gösterilerek yapılmalıdır.

Belgemizin kronolojik bir sıra takip etmesi açısından konuya ilk olarak kurulum aşamasından başlamak istiyoruz.
Temelde bilgisayarımızın (bilgisayar kelimesini aslında kişisel bilgisayar
yerine kullanıyoruz. Sunucu sistemlerde güvenlik konusu çok daha boyutlu ve biraz daha karmaşık yapıdadır) güvenliğini 3 değişik aşamada gerçekleştirebiliriz:

- Kurulum aşamasında

- Kurulumdan hemen sonra

- Ve kullanırken

Read more…

İçindekiler :

Güvenli kurulum
Güncelleme ve yamalama
root ve yetki dağıtımı
Root olarak çalışmak
Minimum uygulama prensibi
Minimum yetki prensibi ve süreç izolasyonu
Hizmet süreçlerinin ayarları
Dosya sistemi güvenliği
Parola güvenliği
SSH ve ailesi komutları
Sistem kayıtları

Devamı İçin Download:

linuxguvenligiv10-1231535603388805-2

Şöyle bir göz atılması gereken sonraki konu, yerel kullanıcılardan gelen saldırılara karşı sistem güvenliğiniz konusu. Kullanıcıların yerel olduğunu söyledik mi?

Evet!

Sistem saldırganlarının root hesabına giden yollarındaki ilk şeylerden bir tanesi yerel bir kullanıcı hesabına erişim elde etmektir. Bu saldırganlar, gevşek bir yerel güvenlik ile, kötü ayarlı bir yerel servis veya çeşitli böceklerden yararlanarak, normal kullanıcı erişimlerini root erişimine terfi ettirir. Eğer yerel güvenliğinizin sıkı olduğundan emin olursanız, saldırganın üzerinden atlaması gereken başka bir çit daha oluşturmuş olursunuz.

Read more…

Güvenlik duvarlarının çıkış amacı gelen ve giden paketleri kontrol altında tutabilmek ve dolayısıyla paket filtreleme yapmaktı. Ancak gelişen ihtiyaçlar ile birlikte güvenlik duvarları birden fazla ağ katmanı arasında yönlendirici cihazlar gibi konumlandırılmaya başlandı. Böylece güvenlik duvarına gelen ve güvenlik duvarından giden paketlerin kontrolünün dışında hedefi farklı ağ katmanlarındaki sistemler olan paketler üzerinde kontrol yapılmaya başlandı. Günümüzde çalışan bir çok güvenlik duvarı da bu mantığa göre çalışmaktadır.

Read more…

Mysql(diger veritabanlari da olabilir) sunucunuza yapilan veri tabani isteklerini arada bir logger araciligi ile izlemek isterseniz snort”u bu amac icin kullanabilirsiniz.

alert tcp any any <> SUNUCU_IP 3306 (msg: “MySQL Baglantisi”; session: all;)

Bu kural ile mysql sunucuya yapilan tum baglantilar icerikleri ile birikte kaydedilecektir.

Snort”un mysql sunucu ile istemci arasinda olmasi ya da sql sunucuya giden trafigi gormesi gerekir. Istenirse Snort L2 bridge modda calisan bir cihaz uzerinde de calistirilabilir.

Iptables ile anlik baglanti sayisini sinirlandirabilir ve DOS saldirilarindan korunabilirsiniz.

Asagidaki ornekte syn-flood isimli bir zincir olusturuluyor ve saniyedeki baglanti sayisi 10 ile sinirlandiriliyor.

iptables -t nat -N syn-flood
iptables -t nat -A syn-flood -m limit –limit=10/s –limit-burst 24 -j RETURN
iptables -t nat -A syn-flood -j DROP
iptables -t nat -A PREROUTING -i $dis_ip -d $hedef_ip -p tcp –syn -j syn-flood

$dis_ip adresi guvenlik duvarinizin internet tarafindaki IP”si, $hedef_ip ise internet agindaki hedef IP adresidir.

Xmas ve Null paket saldirilari da asagidaki gibi onlenebilir.

iptables -t nat -A PREROUTING -p tcp –tcp-flags ALL URG,PSH,FIN -j DROP
iptables -t nat -A PREROUTING -p tcp –tcp-flags ALL NONE -j DROP

Iptables ile ICMP protokolunun kontrolunu asagidaki gibi yapabilirsiniz.

# iptables -A INPUT -p icmp –icmp-type echo-request -j DROP

Bu ornekte gelen ICMP echo-request istekleri drop edilmistir.

Kontrol olarak –icmp-type parametresi ile birlikte diger icmp mesaj cesitlerini de kullanabilirsiniz.

Taklit edilmis IP saldirilarinda ICMP redirect mesajlarindan yararlanilmaktadir. Bu mesajlar sayesinde saldirgan, paketlerin hedef adreslerini degistirebilmektedir.

Linux cekirdeklerindeki accept_redirect parametresini degistirerek ICMP redirect mesajlarinin kabulunu iptal edebilirsiniz.

root@enderwall:~# echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects

Hemen hemen tüm sistem ve ağ yöneticisi olan kişiler bu konu üzerinde durmuş aynı tartışmaları yapmıştır. Kodu kapalı uygulamların ticari olarak gelişitirlmiş olmasının sakıncaları ve yararları ile açık kaynak kodlu uygulamaların yararları ve sakıncaları tartışılmıştır. Kapalı kodlu sistemler açısından ele aldığımızda Windows işletim sistemi ailesi için bir firewal çözümü aramak ve uygulamak her zaman için pahalı ibr seçeneketir. Öte yandan da sürekli artan terfi maliyetleri ile bütçe sıkıntıları yaşanır. Elinizdeki sınırlı bütçe ile çözüm üretmek ve karar vermek durumunda kalırsınız. Öte yandan da kullandığınızyaılımda ortya çıkan güvenlik açıklarınınm kapanması içinde geliştirici-üretici şirketin çalışma progr—– göre yama çıkarmasını beklersiniz. GNU/Linux tabanlı bir firewall çözümü arıyorsanız neler bilmeniz gerekir?

Read more…

Çekirdek, bilgisayarınızın ağını denetim altında tuttuğu için, çok güvenli olması ve bozulmaması önemli. En yeni ağ saldırılarını engellemek için, çekirdek sürümünüzü güncel tutmaya çalışmalısınız.

Çekirdeklerinizi ftp://ftp.kernel.org/ adresinden, veya dağıtıcınızdan bulabilirsiniz.
Ana Linux çekirdeğine, birleştirilmiş bir şifre yaması sağlayan uluslararası bir grup var. Bu yama, dışsatım kısıtlamaları yüzünden ana çekirdeğe dahil edilemeyen şeyler ve bazı şifreliyazımsal alt sistemler için destek sağlıyor. Daha fazla bilgi için:
Read more…

Arkakapılar sistemin güvenlik çemberinde ne derece düzensizlikler oluştururlar?
Bu düzensizliğin boyutu nedir?
Sistem yöneticisi arkakapının varlığını nasıl anlayabilir?
Yoksa benim yönettiğim sisteme kimse girip delik açamaz mı diyorsunuz?
Read more…

Linux’ta Konsol Cok Güclü Bir Aractir. Birde bunun kullaniminda en yetkili kullanici olan “root” yetkilerine sahipseniz elinizde yanlislikla tüm sisteminizi yok edecek bir silah tutuyorsunuz demektir. Bazi komutlar ise “root” yetkileri olmasa ve sistemin geneline hasar vermese de kullanicinin herseyini yok edebilir. Ancak bu söylenenlere bakip panige de kapilmamak gerekir.

Read more…

DDos Blocklama…!

Merhaba, Linux kullanıcıları için d dos saldırılarına karşı bireysel olarak korunma yöntemi ,

wget http://www.inetbase.com/scripts/ddos/install.sh

chmod 0755 install.sh

./install.sh

Bu işlemi yaptıktan sonra /usr/local/ddos/ddos.conf (“ddos.conf”) dosyayı bilgisayarınıza indirin ve kendinize göre düzenleyin.

NO_OF_CONNECTIONS=100

100 bağlantıdan sonra saldırganı banlar.İsteğinize göre değiştirebilirsiniz.

EMAIL_TO=”mail adresiniz”

Mail adresinize fazla bağlantı açanları an ve an size mail olarak ulaştırır.

BAN_PERIOD=30

30 Saniyede bir fazla bağlantı açanları banlar.İsteğinize göre değiştirebilirsiniz.

ignore.ip.list ve /sbin/iptables`a chmod 777 verin.