ULAK-CSIRT

nProbe uygulaması bağlantı islerini takip etmeye yarayan bir uygulamadır (bkz http://www.ntop.org/nProbe.html). Bu uygulama sayesinde ağ trafiğimizi rahatlıkla kayıt altına alabiliriz. Uygulama GPLv2 ile lisanslı ve ufak bir ücreti var. Ticari faliyette yapmaktalar. İşin güzel tarafı bu uygulama üniversiteler için ücretsiz. Yazarına eposta attığınızda size bu uygulamayı gönderiyor genelde.

Ciddi anlamda hızlı çalışan bu uygulamanın güzel özellikleri arasında AS (Autonomous System) numaralarını da ekleyebilir olmasıdır. Bu numaraları eklemek için BGP çalışan bir yönlendiriciniz olmak zorunda değil. Uygulamaya rahatlıkla AS numaralarını bir dosya aracılığı ile verebiliyorsunuz. Bunun için;

$ wget http://thyme.apnic.net/current/data-ASnet-detail

$ cat data-ASnet-detail | ./as-list.pl > as-list.txt

Buradaki as-list.pl dosyasının içeriği ise; Read more…

Windows işletim sistemlerinde yeni virüs uyarıları ortalıkta geziyor. Mesela http://support.microsoft.com/kb/962007 adresinde Microsoft’un uyarısı mevcut. Pekçok güvenlik firması da benzer uyarılar yapıyorlar.

Tabii, 1 Nisan şakası tadında haberlerde çıkmıyor değil. Bugün bu virüsün pekçok soruna neden olacağına dair  spekülasyonlar yapıldı. Gerçek olur mu bilinmez ama herkes bu konuda dersine çalışmış durumda. Eğer ağınızda yavaşlama, bilgisayarınızda yavaşlama, çalışmayan güvenlik yazılımları, güncelleme yapmayan windows işletim sistemleri mevcut ise aşağıdaki bağlantılardan biri ile gerekli işlemleri yapabilirsiniz. Eski zamanlardan bu işi mcafee ile yapmayı tercih edenlerdenim (bu arada ben windows kullanmıyorum). İlk bağlantı (averlabs) mcafee’ye ait.

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx adresindeki güncelleme ile sorunu oluşmadan çözebilirsiniz. Eğer şu anda bu sorunu yaşıyorsanız ilk önce sorunu çözüp daha sonra güncellemeyi yapmalısınız. Eğer ağınızda bu solucanı yayan bir makina varsa güncellenmemiş bilgisayarınıza anında bulaşacaktır.

http://www.avertlabs.com/research/blog/index.php/2009/03/27/w32conficker-much-ado-about-nothing/?cid=54857

http://www.us-cert.gov/cas/techalerts/TA09-088A.html

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

http://www.symantec.com/norton/theme.jsp?themeid=conficker_worm&inid=us_ghp_link_conficker_worm

http://www.eeye.com/html/conficker/index.html

http://www.fortiguardcenter.com/virusency/W32/Conficker.C!worm

Son olarak da;

http://isc.sans.org/diary.html?storyid=5860

adresinde pekçok bilgi bulabilirsiniz.

hdemir.

Merhabalar,

Bu yıl 31 Mayıs-03 Haziran 2009 tarihlerinde Adnan Menderes Üniversitesi’nde üçüncüsünü gerçekleştireceğimiz ULAKNET Eğitim Ve Çalıştayı’nda, “Ağ Yetkilendirme ve eduroam Eğitimi” başlığı altında FreeRadius kurulumu ile 802.1x yetkilendirmesi ve eduroam bağlantısının sağlanması konusunda bir eğitim yapılması planlanmaktadır. Eğitimin çalıştay sürecinde bir gün, oturumlara paralel olarak 13:30-18:00 saatleri arasında yapılması planlanmaktadır.

Eğitimde 15 kişilik kontenjan bulunmaktadır. Talebin fazla olması durumunda, Şubat 2009 da gerçekleştirilen Ağ Güvenliği Eğitimi kapsamında yapılması planlanan, ancak çalıştaya ertelediğimiz eduroam eğitimine kayıt yaptırmış olanlara, her kurumdan bir kişi olmak üzere öncelik verilecektir. “Ağ Yetkilendirme ve eduroam Eğitimi”ne katılmak isteyen herkesin, taleplerini aşağıdaki bilgiler ile birlikte eryol@ulakbim.gov.tr adresine “eduroam Egitimi” konusu ile 10 Nisan 2009 Cuma tarihine kadar e-posta ile göndermeleri gerekmektedir.

eduroam Eğitimi Katılımcı

Adı Soyadı :

Kurumu :

Görevi :

e-posta adresi :

III. ULAKBİM Çalıştayı Etkinlik ANA sayfası: http://www.ulakbim.gov.tr/ulaknet/calistay/09/

Spam bildiğiniz gibi hepimizin sorunu. CPU, Bellek, Band Genişliği gibi pekçok kaynağı tüketmekle kalmayıp virüs, solucan vb. zararlı yazılımları da dağıtarak hepimizin canını sıkmaktadır. Bu yöntemler ile daha çok para kazanmaya çalışılmaktadır. Kişisel verilerin çalınmasının yanında, çeşitli casusluk işlerinde de kullanılmaktadır (truva atı olayı). Tabii bir de işin yasal boyutları var. Bunları da düşünmek gerekmektedir.

Peki istenmeyen bu eposta’lar ile nasıl ilgilenmek gerekir. Bunlar için pekçok yöntem düşünülmüş ve uygulanmıştır. Fakat, bu eposta’ları atan kişiler de bu yöntemleri hemen kavrayıp sistem değiştirmişlerdir. Bu yüzden genelde kazanan onlar gibi görülmektedir. Eğer kullanıcı sistemlerini kontrol etmiyorsanız, gerçekten kazananlar onlar olabilir. Read more…

NFSen uygulaması NSM mantığında çok kullanışlı bir uygulama. Bildiğiniz gibi NFSen, Cisco Netflow, Sflow gibi bağlantı izlerini toplayan ve görsel bir şekilde sunulmasını sağlayan yararlı bir uygulama. Netflow verilerinin saklanması üniversiteler için zorunlu olmasa da güvenlik ve takip edilebilirlik açısından çok önemlidir. Bu konuda Ulakbim’de bu kayıtların tutulması gerekliliğini daha önce belirtmiştir.

Tutulan bu kayıtlar üzerinden pekçok işlem yapılabilmektedir. Hattı en çok kullanan/meşgul eden IPleri bulmak bunların başında gelmektedir. Bunu flow/paket/byte vs şeklinde yapabilmektedir.

Türkçesi karadelik olan Darknet ise tarama yapan IPleri bulmakta en çok işimize yarayan yöntemlerden biridir. Darknet mantığı ile yanlış ayarlanmış kullanıcı bilgisayarları da rahatlıkla bulunmaktadır. Peki darknet’i nasıl kurmalıyız?

İlk önce kendi ağınızda kullanmadığınız IP bloklarını bulmalısınız. O kadar büyük bir ağ değil diyorsanız tek tek kullanmadığınız IPler de olabilir tabii. Bizim için IP blokları yeterli idi (65000 kusur IP). Read more…

Dinamik IP dağıtan sistemlerde tüm IP dağıtım işini yasal sunucunun yapmasını beklersiniz. Bazen durum böyle olmuyor. Gökhan daha önce bu konudan bahsetmişti (http://blog.csirt.ulakbim.gov.tr/?p=112). Bu yalancı sunucular genelde bilinçsiz yapılan kurulumlardan kaynaklanmaktadır. Mesela, Nokia’nın bazı modelleri ile VOIP kullanmak için telefonu Internet’e çıkartırken kurulan uygulamalar. Nadiren olsa da bazı virüsler IP dağıtarak ağı kendi üzerlerinden geçirmektedir. Bu tür virüs aktiviteleri ağı düzgün şekilde yönetiyorsak çabuk fark edilecektir (bakınız NSM).

Peki nasıl bulunur?

# tcpdump -lenx -s 1500  -i <ILGILI ARAYÜZ> src port 67 and dst port 68 and not host <LEGAL DHCPd sunucusu IP Adresi>

Mesela;

# tcpdump -lenx -s 1500  -i eth0 src port 67 and dst port 68 and not host 144.122.0.1

Bu komutun sonucu sizin dışınızda IP dağıtan cihazları bulmanızı sağlayacaktır. Yeri gelmişken dhcpdump uygulamasını da hatırlatayım. Bu uygulama dhcp paketlerinin içeriğini bizim için daha anlaşılır bir hale getirmeye yarıyor. Yani;

Read more…

Selam arkadaşlar,
Yine Akademik Bilişim zamanı. Mustafa Hocam yine çok iyi bir organizasyon oluşturmuş. Bu yıl kısmetse Şanlı Urfa’da Harran Üniversitesi’ndeyiz.
Güvenlik ekibi olarak benim ve iş arkadaşım Sınmaz Ketenci’nin yapacağı sunum “Kampüs Ağlarında Zararlı Kullanıcıların Tespiti” başlıklı. Çerçeve programın son hali ile 11 Şubat 2009 16.30-18.30′de G salonundaki son sunumuz.  Sunum dahilde NAT, DHCP altındaki kullanıcıların tespitinin yanı sıra gerçek IP  kullanılsa bile kullanıcının takibi üzerine bir çoğumuzun bildiği tecrübelerin bir araya getirildiği bir döküman oluşturmak. Yine amacımız bu yönde çalışma yapan arkadaşlara Türkçe güzel bir kaynak bırakmak.

Güvenlik dışında İTÜ adına yine Sınmaz’la beraber hazırladığımız bir sunum daha olacak, “IPV6′da Bir Sonraki Adım” başlıklı.  Sunumumuz 13 Şubat 2009 saat 16.30-18.30’da  C salonunda. Bu sunum güvenlik sunumuna benzemiyor farkındayım. Başta bizde öyle sanıyorduk.

Ama IPv6′da anycast’i araştırınca işler değişti. Root DNS sunucularına yapılan meşhur saldırıya kadar gitti konu. Yaaa güvenlik nelere kadir dimi…

Resmi bir rapora göre sadece 2 tane sunucu o saldırıda çökmüş, onlarda anycast kullanmayanlarmış. Bunun dışında IPV6′ya geçiş aşamasında ki sistemlerin neler yaparak geçişi kolaylaştırabileceği üzerine gereken bilgileri içeren bir sunumumuz var.
Herkesi bekliyoruz sunumlarimiza…
Kalın sağlıcakla..

Gokhan AKIN
İTÜ/BİDB Ağ Grubu Başkanı
ULAK/CSIRT Üyesi
www2.itu.edu.tr/~akingok

Geçen hafta bazı yurtların Internet erişimlerinde sorun olduğuna dair şikayetler gelince durumu incelemeye başladık. Kullanıcılar İTÜ’nün IP adresi aralığından IP adresi alıyordu ama yanlış subnetten. Örneğin 10.0.10.0/24 olan bir subnetteki kullanıcı IP adresi olarak 10.0.57.1 IP adresi alıyordu.

IP yanlıştı belki ama subnet maskeleri, Default Gatewayleri doğru idi. Ama oda ne? İstemcilerin öğrendikleri iki adet DNS sunucu IP adresleri bize ait değildi. IPler Ukrayna aitti. İşte sahte DNS sunucusu vakası.

Hatta bize ait olmayan DNS sunucularını denedik bile, düzgün olarak DNS sunuculuğu yapıyorlarda. DNS sunucunuza yedek arıyorsanız kullanabilirsiniz.

Bu adresi veren DHCP sunucusunu tespit etmek için DHCP sunucusu IP adresine bakalım dedik. Cevap şaşırtıcı idi. DHCP sunucusu IP adresi bizim sunucu idi. Başlangıçta kendi DHCP sunucumuzdan bile şüphelendik acaba sapıttı mı diye 

Sunucu diğer vlanlerde işini düzgün yapıyordu. Ayrıca niye başkasının DNS sunucusunu öğretsin ki. Bu durumda bizde sorunlu broadcast domaine geçerek birde biz DHCP istemci olalım dedik.

Bir sniffer ile DHCP sunucusu ile aramızdaki trafiği dinleyince DHCP sunucusun mac adresinin başkası olduğu hemen ortaya çıktı. Ama IP aldıktan sonra DHCP sunucusu kim diye bakınca komik olan yine sanki bizim sunucu IP vermiş gibi gözüküyordu.

Snifferdaki paketleri inceleyince aslında istemcinin DHCP sunucusunun yolladığı Option 54 (DHCP Server Id) bilgisinden sunucu adresini öğrendiğini gördük. Bu bilginin sahte olması çok kolay. Bu durumda olduğu gibi.

Tahminimizce Wormlanan makina kendi DHCP sunucusundan öğrendiği subnet maskesini, gateway adresini, DHCP sunucusu adresini ve IPleri çakışmasın diye rastlansal bir IP belirleyerek, seçtiği IP adresini kullanarak DHCP istemcilerine hizmet veriyor. Worm yazarının tek hatası kendi IP adresi ile subnet maskesini end’liyip doğru aralıktan IP adresi vermesi gerektiğini düşünmemesi.

Sonuç:

1- Bolca güldüm ama gülüyorum ağlanacak halimize gibi bir durum bu.

2- Eğer wormu yazan kişi Subnetting hesabını yapabilseydi belki hala tespit edememiştik sanırım.

Hatta şu anda bu worm bulunan C sınıfı bir networkte 24 bit subnetting yapılmışsa bu durumu fark etmeden uzunca bir süre yaşayabilirler. DNS sunucularına bir baksınlar derim.

3- Eğer wormun yazarı subnetting hesabı hatasını da düzeltirse ne olacak peki

4- FTP, TFTP sunuculuğu yapan, IRC erişimi yapan hatta ARP Poisoning yapan worm bile çıkmıştı. Bi DHCP sunuculuk yapan worm eksikti, artık oda var

Çözümler:

1- Statik IP kullanın. Yada en azından DNS sunucusunu statik verin. Bırakın wormlu makine yedek DHCP sunucusu olsun.

2- Eğer switchlerinizde destek varsa DHCP Snooping özelliğini açın. Biz hemen DHCP Snoopingi devreye aldık saldırı kesildi. Hatta switchlerden topladığımız loglarla wormlu PCler ortaya çıktı hemen.
3- Peki ya bu destek sizde yoksa düşünsenize kablosuz ağ DHCPsizde olamaz, en iyi çözüm kimlik denetimi derim.
4- Yada az broadcast domaininiz varsa sahte DHCP sunucularını keşfetmek için Linux’te “dhcp_probe” veya Windows’da “dhcploc.exe” diye iki uygulama varmış. (Vakit bulduğumda bu uygulamaları inceleyip burada yazmaya çalışırım.) Bu uygulamalar ile tespit edilmeye çalışılabilir.

Kalın sağlıcakla.

Gökhan AKIN
http://www2.itu.edu.tr/~akingok

Linux Kernel 2.6.27 çıktı. Flash tabanlı diskler için yeni bir dosya sistemi olan UBIFS desteği, pc’nin her bir modülü arasında oluşan kuyruk mekanizmasını yenileyen ve performansını artırdığı söylenen multique networking gibi özellikleri ile pc yönlendiricilerin işine yarayacak gibi görünüyor. Ayrıca, Networking başlığı altında geliştirilmiş WEXT desteği, spectrum yeteneklerini ve güç yönetimini geliştiren mac80211 gibi yenilikler de mevcut.

Son kullanıcı için çeşitli donanımlara ve bu donanımlarında çeşitli özelliklerine destek verilmiş. Linux, özellikle Ubuntu dağıtımı ile, giderek daha fazla son kullanıcı tarafından tercih edilmeye başlandı.

Önümüzdeki dönemde yeni kernellarda bizleri nelerin beledğini görmek istiyorsanız, detaylar http://kernelnewbies.org/Linux_2_6_27 adresinde.

Aynı broadcast domainde bulunan iki sunucudan bir tanesinin kontrolü yabancı biri tarafından ele geçirilmesi (hacklenmeyi daha kibar tarif edemezdim valla :=) durumunda, bu sunucu diğer sunucuya L2 atakları yapma şansını elde eder. Ayrıca artık minimum 100Mb’lik bir hız ile diğer sunucuya saldırma şansını da elde etmiştir.

Buna çözüm her sunucuyu ayrı bir vlan koymak olabilir. Bu sayede sunucular farklı broadcast domainde olacaklarından birbirlerine L2 atak yapamazlar ve routerda gereken ACL’leri yazarak gereken diğer önlemleri de alabilirsiniz. Ancak bu yöntem yönetimi daha zorlaştıracak ve IP kaybını artıracak bir çözümdür.

Bunun yerine protected port veya private vlan özelliklerini kullanabilirsiniz.

Protected port olarak belirlenmiş olan bir porttaki istemci diğer protected port olarak belirlenmiş bir istemci ile unicast, multicast ve broadcast trafiği ile haberleşme yapamaz. Yani aralarında hiç bir trafik oluşturulamaz. Protected port olarak belirlenmemiş portlara ise normal olarak erişebilirler.

Switch’in uplink portu ve herkesin ortak servis alması gereken portlar protected yapılmaz.

Proctected port konfigürasyonu şu şekilde yapılır:

Switch# configure terminal
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# switchport protected

Ancak protected port uygulaması bir birimin birbirleri ile haberleşmesi gereken iki sunucusu varsa çözüm olmaz. Örnek olarak bir web sunucusu birde veri tabanı sunucusunuz olduğunu düşünelim. Bu iki sunucu haberleşsin ama switche bağlı diğer sunucular ile haberleşmesinler isterseniz Private VLAN konfigürasyonu yapmanız gerekir.

Daha önce Private VLAN konfigürasyonu üzerine bir doküman hazırlamıştım. Hazırladığım dokümanda 4 şirket olduğu düşünülmüştür. A ve B isimli şirketler sadece gateway ile haberleşecek şekilde, ABC ve XYZ şirketleri ise 2 sunucuya sahipler, kendi sunucuları ve gateway ile haberleşebilecek şekilde düşünülmüştür.

Private VLAN konfigürasyonu için bahsettiğim dokümanı aşağıdaki linkten temin edebilirsiniz.

http://www2.itu.edu.tr/~akingok/

Herkese kolay gelsin.

Gökhan AKIN