ULAK-CSIRT

Özellikle kurumsal ağlarda, (mümkünse uygulama seviyesinde) bant genişliği yönetiminin önemini vurguluyoruz.

Peki açık kaynak yazılımlarla, bir grafik arayüz kullanarak kolayca gerçekleştirmek mümkün müdür? Pfsense’in yeni versiyonu ile bu mümkün. Neler yapılabileceğini Ege Üniversitesi’nden Vedat Fetah arkadaşımız bizim için araştırdı. Ege Üniversitesi’nde kablosuz ağlar ve lablar için bu sistem kuruldu ve başarıyla uygulandı. Bu çalışmada ben (Enis Karaarslan) da kendisine biraz destek olmaya çalıştım.

Umarım herkesin yararlanabileceği bir döküman oldu. Aşağıdaki linkten dökümanın son sürümüne ulaşabilirsiniz.

http://csirt.ulakbim.gov.tr/dokumanlar/2010_pfSensePlatform_L7FiltrelemeQoSUygulamalariv2.pdf

Linux makinelerde ethernet arayüzlerini birleştirme işlemi yapılabilmektedir. Buna genelde “bonding, trunk, etherchannel” gibi isimler verilmektedir. Arayüzleri birleştirme işlemi sistemin ağ performansını arttırmak için yapılabileceği gibi yedeklilik, sürdürülebilirlik için de yapılabilir.

Burada genelde pekçok anahtarlama cihazında bulunan IEEE 802.3ad standardını kullanacağız. Linux kernel’inde bu mode=4 olarak karşımıza çıkmaktadır.
Read more…

Evet 2 yıl geçte olsa 802.11n sonunda standart haline geldi. Peki, ne getirdi bu bize?

802.11a/g’nin 54 Mb hızından 6 katı kadar fazla 300Mb’e kadar çıkabilen hız. Ayrıca 35m civarında olan bina içi kapsama alanıda yeni protokol ile yaklaşık 70m’ye çıktı. Menzil süperde bu kadar hıza ne gerek var diyenler olabilir

54Mb sandığımız 802.11a/g’de OSI’nin 2.katman arabaşlığı olan MAC başlığının büyük olmasından dolayı %50′ye varan bant genişliği kullanılamıyor. Buda 25-30Mb civarında veri aktarımı anlamına geliyor. Ayrıca 802.11 protokolleri ortak bir frekanstan haberleşme sağladığı için bu band genişliği ağa bağlanan bütün kullanıcılar arasında paylaşılıyor. Özetle kullanıcı sayısının artması ile bant genişliği ters orantılı azalıyor.

Peki 54Mbit nasıl oldu da 300Mbit’e çıktı?

Bir güvenlik blogunda bu kadar kablosuz ağ teknolojisi yeterli Bu sorunun cevabını merak edenler, bu yaz networking üzerine uğraşan arkadaşlarımla yayınına başlattığımız agciyiz.net sitesindeki (http://www.agciyiz.net/?p=652) yazımdan okuyabilirler.  Hazır yeri gelmişken biraz reklam yapıyım Yazıları her tür network konusunu içeren ve ayda 10 civarında yazı eklenen www.agciyiz.net sitesini de arada sırada incelemenizi şiddetle tavsiye ederim.

Bu kadar reklamdan sonra yazıya devam, Peki “802.11N Draft 2.0″ diye taslak halindeki protokol ile üretilmiş cihazlar ne olacak? Haberler iyi,  bu ürünlerin hepsi standardın son hali ile sorunsuz çalışmakta, yazılım güncellemesi bile gerekmemekteymiş.

Son olarak uzun bir süre önce burada NAT loglaması üzerine bir yazı yazacağım demiştim,  ne yazıkki yazamadım bir türlü. Ama söz, çok kısa bir süre sonra NAT ve loglanması üzerine bir yazı yazacağım.
Görüşmek üzere, Kalın sağlıcakla..

Gökhan AKIN
http://www2.itu.edu.tr/~akingok

Geçen ay sonunda Cisco çok miktarda güvenlik bülteni yayınladı. Bu bültenleri takip etmekte yarar var. Bazı açıklar için Cisco ücretsiz IOS güncellemesi desteği veriyor.

Unified Communications Manager SIP DoS açığı:
IOS IKE Açığı:
IOS Yetkilendirme Vekili açığı:
Unified Communications Manager Express açığı:
IOS Ağ Zaman Protokolü Açığı:
IOS Alan Tabanlı Güvenlik Duvarı Açığı:
IOS Bozuk Şifrelenmiş Paket DoS Açığı:
IOS Tünel Açığı:
IOS Grup-Obje Erişim Kontrol Listesi Kısa Devre Açığı:
IOS H.323 DoS Açığı:
IOS SIP DOS Açığı:
TCP Durum Değişikliği Dos Açığı:

Eğer acaba güncellemem gerekir mi diye karar veremeyen olursa birlikte bakalım. Genelde sorun yoksa dokunma kuralı iyidir ama sanki bu açıklar için güncelleme şart olacak.

Hepimize kolay gelsin.
hdemir.

Bilgisayarların iç zaman saatlerinin çözünürlüğü iyi değildir. O yüzden zaman içinde sapma yaparlar. Bilgisayarın saatini ayarladıktan belli bir süre sonra bunu gözlemleyebilirsiniz. Durum böyle olunca saati sürekli güncel tutmak için güvenilir bir kaynaktan senkronizasyon ihtiyacı dogmustur. Bu kaynağa NTP (Network Time Protocol - Ağ Zaman Protokolü) denir (Versiyon 4 için ayrıca bakınız). Bu protokol vasıtasiyla bir atom saatinin (hidrojen veya sezyum) bilgilerini istemcilere yayınlamak için kullanılır. Günümüzde sezyumlu atom saatleri yerlerini GPS ve Time Signal Stations (Zaman Sinyal İstasyonları) na bırakmıştır.

Aşağıda bir ağda vazgeçilmez olduğunu düşündüğümüz bir NTP sunucusunun nasil yapıladırılacağına kısaca deginmek istedim. Bunun için FreeBSD işletim sistemini seçtim.

Eğer makinanızın saatini açılışta senkronize etmek istiyorsanız bunun için ntpdate(8) komutunu kullanabilirsiniz.

Basit kullanımı şu şekildedir.

# ntpdate ntp.ulakbim.gov.tr

Makinanızı NTP sunucusu olarak yapılandırmak için ise ntpd(8) uygulaması kullanılır.

FreeBSD NTP suncusu için ön tanımlı yapılandırma dosyaları şunlardır;

/etc/ntp.conf #NTP yapılandırma dosyası, tanımlama tipleri ntp.conf(5) da verilmiştir.

/etc/ntp.drift #Sapma yapılandırma dosyası

/etc/ntp.keys #Anahtar dosyası

Her istemci aynı zaman bir sunucu olabilmektedir, yani bir LAN üzerinde bir NTP istemcisi Internet üzerinden saatini senkronize ediyor ise aynı bilgisayar LAN üzerindeki makinalar için bir sunucu olabilir. Bu sunucu üzerinde kısıtlamalar tanımlanabilinmektedir.

/etc/ntp.conf dosyası için girdi şu şekilde olabilir.

server ntp2.sth.netnod.se
server tick.usno.navy.mil version 3
server 193.140.83.32   #ntp.ulakbim.gov.tr
#server ntp.nasa.gov
#server tr.pool.ntp.org

driftfile /etc/ntp/ntp.drift

#broadcast 193.140.143.255

logfile /var/log/ntp.log

# localhostdan NTP sunucuya ulasim hakki ver(ntpq -p)
restrict 127.0.0.1 mask 255.255.255.255

# Local aga NTP sunucuya ulasim hakki ver
restrict 193.140.143.0 mask 255.255.255.0

# Diger bilgisayarlarin NTP serverina ulasim haklari
restrict default noquery notrust nomodify nopeer

Artık /etc/rc.conf dosyasına aşağıdaki girdiyi ekleyerek ntpd yi açılışta çalışabilir hale getirebilirsiniz.

ntpd_enable=”YES”
ntpd_config=”/etc/ntp/ntp.conf”
ntpd_sync_on_start=”YES”
ntpd_flags=”-p /var/run/ntpd.pid -f /etc/ntp/ntpd.drift”

Burdaki bilgilerden çok daha fazlasını bulabileceginiz adresler  http://www.bidb.itu.edu.tr/?d=366

ve http://www.belgeler.org/howto/time-precision-howto-ntp.html

Unutmayın! farklı cihazlardan (Sunucu, Yönlendirici, Ağ Geçidi, IPS vs. ) gönderilen mesajların zamana göre senkronize olması için cihazlarda Network Time Protokol (NTP) çalıştırılmasının önemi büyük olacaktır.

— Hüseyin Yüce

xLDen>tr GoogleC

kullanabilirsiniz

“@RISK: The Consensus Security Vulnerability Alert    Vol. 8 No. 37″ e-postasına bakarken Freeradius ile ilgili bir açık olduğunu fark ettim. Her ne kadar Freeradius kendisi 1.x’den 2.x’e geçmeyi tavsiye etsede 1.x’de çalışanlar olduğunu düşünüyorum.

http://www.securityfocus.com/bid/36263 bağlantısından gerekli bilgilere ulaşılabilir. Kısaca Freeradius 1.1.7′ye kadar olan tüm versiyonlar sorunlu gibi duruyor. Tavsiye edilen versiyon Freeradius 1.1.8 olsa da ben Freeradius 2.x’e geçilmesini tavsiye ediyorum.

Tabii burada 2.x’e hemen geçmek mümkün olmayabilir. Bu yüzden ilk olarak 1.1.8 versiyonuna geçip daha sonra uygun bir planlama ile 2.x sürümüne geçmekte yarar var.

Kolay gelsin.

hdemir.

Linux çekirdeklerinde, hem de 2001 yılından itibaren yayınlanan tüm çekirdeklerde bir açık bulunmuş. Bu açık kullanılarak sunucu üzeridneki sıradan kullanıcılar “root” haklarına sahip olabiliyorlar. Etkilenen Linux çekirdeklerinin sürüm numarasını da vermek gerekirse,

• Linux 2.4 serisi için, 2.4.4 ten 2.4.37.4 e kadar
• Linux 2.6 serisi için, 2.6.0 dan 2.6.30.4 e kadar

Sözkonusu açığı kullanan exploitler de yayınlanmış durumda, bu sebeple sistem yöneticilerinin hızla çözümleri takip etmesini öneririm.Uzun süredir bu kadar kapsamlı bir açık görmemiştim, muhtemelen bu açığı kullanan birçok kullanıcınız olacaktır.

Açığın detayları aşağıdaki adreslerde mevcut. En son sürüm kernel için bir patch yayınlanmış (yazarına dikkat edin ): http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=e694958388c50148389b0e9b9e9e8945cf0f1b98

Mevcut exploitler, aşağıdaki kernel modüllerini kaldırdığınızda çalışmaz duruma geliyorlar, ama sonraki exploitler için garantisi yok:

• net/ipx/ipx.ko
• net/irda/irda.ko
• net/x25/x25.ko
• net/ax25/ax25.ko
• net/bluetooth/bluetooth.ko
• net/sctp/sctp.ko
• drivers/net/pppoe.ko
• drivers/net/pppox.ko

Konuyla ilgili bazı bağlantılar:

• Slashdot da konunun muhabbeti
• Bir Security Blogu
• LWN.NET
• Bir başka detaylı açıklama

Gökhan Eryol

2009-07-28 tarihinde yaygın bir şekilde kullanılan alan adı sunucu sistemi BIND yazılımında bir açık yayınlandı. Bu açık çok hızlı bir şekilde önümüze geldi. Bunun en önemli nedeni açığın çok çabuk duyurulmuş olması. Henüz pekçok sistem kendi güncellemelerini çıkarmadan/çıkaramadan açığın duyurusu yapıldı.

BIND’ın ne olduğunu merak edenler http://www.isc.org adresine bakabilirler. Açığın ayrıntılarına ise https://www.isc.org/node/474 (CVE-2009-0696) adresinden ulaşabilirler.

Kısaca BIND (şu anda 9.x versiyonu kullanılmaktadır) DNS denilen alan adı yönetim sistemini sağlayan bir yazılım. Dünyada çok yaygın olarak kullanılmaktadır.

Haberdeki açık ile bazı özel sorgulamalar ile named(8) uygulamasının durmasını (crash) ve sistemde servis kesintisi oluşması sağlanmaktadır.

BIND kullanan herkese güncelleme önerilir.

Debian için:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=538975

http://www.cyberciti.biz/tips/bind-dynamic-update-dos.html

hdemir.

nProbe uygulaması bağlantı islerini takip etmeye yarayan bir uygulamadır (bkz http://www.ntop.org/nProbe.html). Bu uygulama sayesinde ağ trafiğimizi rahatlıkla kayıt altına alabiliriz. Uygulama GPLv2 ile lisanslı ve ufak bir ücreti var. Ticari faliyette yapmaktalar. İşin güzel tarafı bu uygulama üniversiteler için ücretsiz. Yazarına eposta attığınızda size bu uygulamayı gönderiyor genelde.

Ciddi anlamda hızlı çalışan bu uygulamanın güzel özellikleri arasında AS (Autonomous System) numaralarını da ekleyebilir olmasıdır. Bu numaraları eklemek için BGP çalışan bir yönlendiriciniz olmak zorunda değil. Uygulamaya rahatlıkla AS numaralarını bir dosya aracılığı ile verebiliyorsunuz. Bunun için;

$ wget http://thyme.apnic.net/current/data-ASnet-detail

$ cat data-ASnet-detail | ./as-list.pl > as-list.txt

Buradaki as-list.pl dosyasının içeriği ise; Read more…

Windows işletim sistemlerinde yeni virüs uyarıları ortalıkta geziyor. Mesela http://support.microsoft.com/kb/962007 adresinde Microsoft’un uyarısı mevcut. Pekçok güvenlik firması da benzer uyarılar yapıyorlar.

Tabii, 1 Nisan şakası tadında haberlerde çıkmıyor değil. Bugün bu virüsün pekçok soruna neden olacağına dair  spekülasyonlar yapıldı. Gerçek olur mu bilinmez ama herkes bu konuda dersine çalışmış durumda. Eğer ağınızda yavaşlama, bilgisayarınızda yavaşlama, çalışmayan güvenlik yazılımları, güncelleme yapmayan windows işletim sistemleri mevcut ise aşağıdaki bağlantılardan biri ile gerekli işlemleri yapabilirsiniz. Eski zamanlardan bu işi mcafee ile yapmayı tercih edenlerdenim (bu arada ben windows kullanmıyorum). İlk bağlantı (averlabs) mcafee’ye ait.

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx adresindeki güncelleme ile sorunu oluşmadan çözebilirsiniz. Eğer şu anda bu sorunu yaşıyorsanız ilk önce sorunu çözüp daha sonra güncellemeyi yapmalısınız. Eğer ağınızda bu solucanı yayan bir makina varsa güncellenmemiş bilgisayarınıza anında bulaşacaktır.

http://www.avertlabs.com/research/blog/index.php/2009/03/27/w32conficker-much-ado-about-nothing/?cid=54857

http://www.us-cert.gov/cas/techalerts/TA09-088A.html

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

http://www.symantec.com/norton/theme.jsp?themeid=conficker_worm&inid=us_ghp_link_conficker_worm

http://www.eeye.com/html/conficker/index.html

http://www.fortiguardcenter.com/virusency/W32/Conficker.C!worm

Son olarak da;

http://isc.sans.org/diary.html?storyid=5860

adresinde pekçok bilgi bulabilirsiniz.

hdemir.