ULAK-CSIRT

Bu yıl içinde 40Gbit ve 100Gbit Ethernet’in standart haline gelmesi bekleniyor. 100Gb’lik kartların Juniper ve Cisco tarafından üretimene başlandı bile. 100Gbit Ethernet var olan altyapının 10 katı hıza çıkabilmesi anlamına geliyor. Bunun da ne gibi yenilikler getirebileceğini şu anda hayal edemiyorum. Yakın gelecekte istemci portlarının 100mb olması bile yetersiz hale gelecek gibi. 802.11n standart olduğunda şu dönemde,  kablosuz ağ erişimi iki kanalla 300mbit hızlara ulaşabiliyor, kablodan vazgecip cümbür cemaat kablosuza geçecez belkide

Sıkı durum, asıl şaşırdığım haber bunlar değil. Şaşırdığım ifade TERABIT Ethernet’in 2015 gibi geleceğinin söylenmesi. Bu ifadeyide bizzat Bob Metcalfe‘in bir konferansta çekilmiş videosundan kendi ağızından duydum. Fazla değil 5 yıl sonrasından bahsediliyor. Bırakın şu andaki PC’lerin harddisk veri yazma hızlarınını, bizim teknolojiye yetişme hızımız bunlara yetişicek mi ? Umut ederim

Kalın sağlıcakla.

Gökhan AKIN

http://web.itu.edu.tr/akingok
http://gokhanakin.net

Iptables veya Netfilter yapısı içerisinde bulunan connlimit ile bağlantı sayısını sınırlandırabiliyoruz. Connlimit modülü standart netfilter yapısında uzun zamandır bulunmaktadır.


# iptables -m connlimit -h
iptables v1.4.4
..
..snips
..
connlimit match options:
[!] –connlimit-above n match if the number of existing connections is (not) above n
–connlimit-mask n group hosts using mask


Yukarıdaki yardım satırlarından da anlaşılacağı üzere iki adet opsiyonu var. Connlimit modülünü aktive etmek için iptables için -m connlimit opsiyonunu eklemek yeterli olacaktır.

–connlimit-above n : Buradaki n toplam bağlantı sayısını ifade etmektedir. Yeri gelmişken bağlantının tanımını yapalım. Bu conntrack tablosundaki her NEW satırına karşılık gelmektedir. Bildiğimiz gibi TCP, UDP ve ICMP’de bunlar değişiklik arz etmektedir. Başına ! işareti konularak tersi manası ifade edilebilmektedir. Yani nden fazla yerine nden az.
–connlimit-mask n : Buradaki n netmaskı ifade eder. IPv4 için 0-32, IPv6 için 0-128 aralığındaki bir rakamı ifade eder. Varsayılan değeri 32 dir. Yani IP başına hesaplama yapar.

Man sayfasından örneklerle bitirelim.

1. iptables -A INPUT -p tcp –syn –dport 23 -m connlimit –connlimit-above 2 -j REJECT

Bu ifade 23. porttan (–dport 23) gelen TCP (-p tcp) bağlantı (–syn) isteklerinden 2 tanesini (–connlimit-above 2) kabul eder. Geriye kalan bağlantı isteklerini ise kabul etmez (-j REJECT).

2. iptables -A INPUT -p tcp –syn –dport 23 -m connlimit ! –connlimit-above 2 -j ACCEPT

Bu da yukarıdaki ifadenin tersi şekilde yazılması. ! ile tersi yaptığımızı hatırlayın.

3. iptables -p tcp –syn –dport 80 -m connlimit –connlimit-above 16 –connlimit-mask 24 -j REJECT

Her C sınıfı IP bloğu (–connlimit-mask 24) için 16 adet HTTP bağlantı isteğine izin verir.

4. ip6tables -p tcp –syn –dport 80 -s fe80::/64 -m connlimit –connlimit-above 16 –connlimit-mask 64 -j REJECT

Bu da IPv6 örneği. Link local bağlantılar için toplam 16 bağlantıya izin verir.

Son olarak da kendi örneğimizi verelim. Malum üniversitelerin P2P sorununa yaklaşımları farklı oluyor. Makul kullanım çerçevesinde UDP trafiğinin çok olmadığı varsayılırsa;

iptables -I FORWARD -i eth0 -p udp –dport 53 -j ACCEPT
iptables -I FORWARD -i eth0 -p udp -m connlimit –connlimit-above 100 -j DROP

Burada dikkat ederseniz DNS trafiğine izin verdik. Bu modül kullanıldıktan sonra kullanıcılarınızdan gelebilecek problemlere karşı duyarlı olmakta yarar var. Buradaki sayılar TCP/IP katmanındaki zamanlarla sınırlıdır. Yani;

# sysctl -a | grep net.netfilter.nf_conntrack | grep time

sonucunda çıkacak zamanlara göre sayı sabit kalmaktadır.

hdemir.

Özellikle kurumsal ağlarda, (mümkünse uygulama seviyesinde) bant genişliği yönetiminin önemini vurguluyoruz.

Peki açık kaynak yazılımlarla, bir grafik arayüz kullanarak kolayca gerçekleştirmek mümkün müdür? Pfsense’in yeni versiyonu ile bu mümkün. Neler yapılabileceğini Ege Üniversitesi’nden Vedat Fetah arkadaşımız bizim için araştırdı. Ege Üniversitesi’nde kablosuz ağlar ve lablar için bu sistem kuruldu ve başarıyla uygulandı. Bu çalışmada ben (Enis Karaarslan) da kendisine biraz destek olmaya çalıştım.

Umarım herkesin yararlanabileceği bir döküman oldu. Aşağıdaki linkten dökümanın son sürümüne ulaşabilirsiniz.

http://csirt.ulakbim.gov.tr/dokumanlar/2010_pfSensePlatform_L7FiltrelemeQoSUygulamalariv2.pdf

Linux makinelerde ethernet arayüzlerini birleştirme işlemi yapılabilmektedir. Buna genelde “bonding, trunk, etherchannel” gibi isimler verilmektedir. Arayüzleri birleştirme işlemi sistemin ağ performansını arttırmak için yapılabileceği gibi yedeklilik, sürdürülebilirlik için de yapılabilir.

Burada genelde pekçok anahtarlama cihazında bulunan IEEE 802.3ad standardını kullanacağız. Linux kernel’inde bu mode=4 olarak karşımıza çıkmaktadır.
Read more…

Evet 2 yıl geçte olsa 802.11n sonunda standart haline geldi. Peki, ne getirdi bu bize?

802.11a/g’nin 54 Mb hızından 6 katı kadar fazla 300Mb’e kadar çıkabilen hız. Ayrıca 35m civarında olan bina içi kapsama alanıda yeni protokol ile yaklaşık 70m’ye çıktı. Menzil süperde bu kadar hıza ne gerek var diyenler olabilir

54Mb sandığımız 802.11a/g’de OSI’nin 2.katman arabaşlığı olan MAC başlığının büyük olmasından dolayı %50′ye varan bant genişliği kullanılamıyor. Buda 25-30Mb civarında veri aktarımı anlamına geliyor. Ayrıca 802.11 protokolleri ortak bir frekanstan haberleşme sağladığı için bu band genişliği ağa bağlanan bütün kullanıcılar arasında paylaşılıyor. Özetle kullanıcı sayısının artması ile bant genişliği ters orantılı azalıyor.

Peki 54Mbit nasıl oldu da 300Mbit’e çıktı?

Bir güvenlik blogunda bu kadar kablosuz ağ teknolojisi yeterli Bu sorunun cevabını merak edenler, bu yaz networking üzerine uğraşan arkadaşlarımla yayınına başlattığımız agciyiz.net sitesindeki (http://www.agciyiz.net/?p=652) yazımdan okuyabilirler.  Hazır yeri gelmişken biraz reklam yapıyım Yazıları her tür network konusunu içeren ve ayda 10 civarında yazı eklenen www.agciyiz.net sitesini de arada sırada incelemenizi şiddetle tavsiye ederim.

Bu kadar reklamdan sonra yazıya devam, Peki “802.11N Draft 2.0″ diye taslak halindeki protokol ile üretilmiş cihazlar ne olacak? Haberler iyi,  bu ürünlerin hepsi standardın son hali ile sorunsuz çalışmakta, yazılım güncellemesi bile gerekmemekteymiş.

Son olarak uzun bir süre önce burada NAT loglaması üzerine bir yazı yazacağım demiştim,  ne yazıkki yazamadım bir türlü. Ama söz, çok kısa bir süre sonra NAT ve loglanması üzerine bir yazı yazacağım.
Görüşmek üzere, Kalın sağlıcakla..

Gökhan AKIN
http://www2.itu.edu.tr/~akingok

Geçen ay sonunda Cisco çok miktarda güvenlik bülteni yayınladı. Bu bültenleri takip etmekte yarar var. Bazı açıklar için Cisco ücretsiz IOS güncellemesi desteği veriyor.

Unified Communications Manager SIP DoS açığı:
IOS IKE Açığı:
IOS Yetkilendirme Vekili açığı:
Unified Communications Manager Express açığı:
IOS Ağ Zaman Protokolü Açığı:
IOS Alan Tabanlı Güvenlik Duvarı Açığı:
IOS Bozuk Şifrelenmiş Paket DoS Açığı:
IOS Tünel Açığı:
IOS Grup-Obje Erişim Kontrol Listesi Kısa Devre Açığı:
IOS H.323 DoS Açığı:
IOS SIP DOS Açığı:
TCP Durum Değişikliği Dos Açığı:

Eğer acaba güncellemem gerekir mi diye karar veremeyen olursa birlikte bakalım. Genelde sorun yoksa dokunma kuralı iyidir ama sanki bu açıklar için güncelleme şart olacak.

Hepimize kolay gelsin.
hdemir.

Bilgisayarların iç zaman saatlerinin çözünürlüğü iyi değildir. O yüzden zaman içinde sapma yaparlar. Bilgisayarın saatini ayarladıktan belli bir süre sonra bunu gözlemleyebilirsiniz. Durum böyle olunca saati sürekli güncel tutmak için güvenilir bir kaynaktan senkronizasyon ihtiyacı dogmustur. Bu kaynağa NTP (Network Time Protocol - Ağ Zaman Protokolü) denir (Versiyon 4 için ayrıca bakınız). Bu protokol vasıtasiyla bir atom saatinin (hidrojen veya sezyum) bilgilerini istemcilere yayınlamak için kullanılır. Günümüzde sezyumlu atom saatleri yerlerini GPS ve Time Signal Stations (Zaman Sinyal İstasyonları) na bırakmıştır.

Aşağıda bir ağda vazgeçilmez olduğunu düşündüğümüz bir NTP sunucusunun nasil yapıladırılacağına kısaca deginmek istedim. Bunun için FreeBSD işletim sistemini seçtim.

Eğer makinanızın saatini açılışta senkronize etmek istiyorsanız bunun için ntpdate(8) komutunu kullanabilirsiniz.

Basit kullanımı şu şekildedir.

# ntpdate ntp.ulakbim.gov.tr

Makinanızı NTP sunucusu olarak yapılandırmak için ise ntpd(8) uygulaması kullanılır.

FreeBSD NTP suncusu için ön tanımlı yapılandırma dosyaları şunlardır;

/etc/ntp.conf #NTP yapılandırma dosyası, tanımlama tipleri ntp.conf(5) da verilmiştir.

/etc/ntp.drift #Sapma yapılandırma dosyası

/etc/ntp.keys #Anahtar dosyası

Her istemci aynı zaman bir sunucu olabilmektedir, yani bir LAN üzerinde bir NTP istemcisi Internet üzerinden saatini senkronize ediyor ise aynı bilgisayar LAN üzerindeki makinalar için bir sunucu olabilir. Bu sunucu üzerinde kısıtlamalar tanımlanabilinmektedir.

/etc/ntp.conf dosyası için girdi şu şekilde olabilir.

server ntp2.sth.netnod.se
server tick.usno.navy.mil version 3
server 193.140.83.32   #ntp.ulakbim.gov.tr
#server ntp.nasa.gov
#server tr.pool.ntp.org

driftfile /etc/ntp/ntp.drift

#broadcast 193.140.143.255

logfile /var/log/ntp.log

# localhostdan NTP sunucuya ulasim hakki ver(ntpq -p)
restrict 127.0.0.1 mask 255.255.255.255

# Local aga NTP sunucuya ulasim hakki ver
restrict 193.140.143.0 mask 255.255.255.0

# Diger bilgisayarlarin NTP serverina ulasim haklari
restrict default noquery notrust nomodify nopeer

Artık /etc/rc.conf dosyasına aşağıdaki girdiyi ekleyerek ntpd yi açılışta çalışabilir hale getirebilirsiniz.

ntpd_enable=”YES”
ntpd_config=”/etc/ntp/ntp.conf”
ntpd_sync_on_start=”YES”
ntpd_flags=”-p /var/run/ntpd.pid -f /etc/ntp/ntpd.drift”

Burdaki bilgilerden çok daha fazlasını bulabileceginiz adresler  http://www.bidb.itu.edu.tr/?d=366

ve http://www.belgeler.org/howto/time-precision-howto-ntp.html

Unutmayın! farklı cihazlardan (Sunucu, Yönlendirici, Ağ Geçidi, IPS vs. ) gönderilen mesajların zamana göre senkronize olması için cihazlarda Network Time Protokol (NTP) çalıştırılmasının önemi büyük olacaktır.

— Hüseyin Yüce

xLDen>tr GoogleC

kullanabilirsiniz

“@RISK: The Consensus Security Vulnerability Alert    Vol. 8 No. 37″ e-postasına bakarken Freeradius ile ilgili bir açık olduğunu fark ettim. Her ne kadar Freeradius kendisi 1.x’den 2.x’e geçmeyi tavsiye etsede 1.x’de çalışanlar olduğunu düşünüyorum.

http://www.securityfocus.com/bid/36263 bağlantısından gerekli bilgilere ulaşılabilir. Kısaca Freeradius 1.1.7′ye kadar olan tüm versiyonlar sorunlu gibi duruyor. Tavsiye edilen versiyon Freeradius 1.1.8 olsa da ben Freeradius 2.x’e geçilmesini tavsiye ediyorum.

Tabii burada 2.x’e hemen geçmek mümkün olmayabilir. Bu yüzden ilk olarak 1.1.8 versiyonuna geçip daha sonra uygun bir planlama ile 2.x sürümüne geçmekte yarar var.

Kolay gelsin.

hdemir.

Linux çekirdeklerinde, hem de 2001 yılından itibaren yayınlanan tüm çekirdeklerde bir açık bulunmuş. Bu açık kullanılarak sunucu üzeridneki sıradan kullanıcılar “root” haklarına sahip olabiliyorlar. Etkilenen Linux çekirdeklerinin sürüm numarasını da vermek gerekirse,

• Linux 2.4 serisi için, 2.4.4 ten 2.4.37.4 e kadar
• Linux 2.6 serisi için, 2.6.0 dan 2.6.30.4 e kadar

Sözkonusu açığı kullanan exploitler de yayınlanmış durumda, bu sebeple sistem yöneticilerinin hızla çözümleri takip etmesini öneririm.Uzun süredir bu kadar kapsamlı bir açık görmemiştim, muhtemelen bu açığı kullanan birçok kullanıcınız olacaktır.

Açığın detayları aşağıdaki adreslerde mevcut. En son sürüm kernel için bir patch yayınlanmış (yazarına dikkat edin ): http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=e694958388c50148389b0e9b9e9e8945cf0f1b98

Mevcut exploitler, aşağıdaki kernel modüllerini kaldırdığınızda çalışmaz duruma geliyorlar, ama sonraki exploitler için garantisi yok:

• net/ipx/ipx.ko
• net/irda/irda.ko
• net/x25/x25.ko
• net/ax25/ax25.ko
• net/bluetooth/bluetooth.ko
• net/sctp/sctp.ko
• drivers/net/pppoe.ko
• drivers/net/pppox.ko

Konuyla ilgili bazı bağlantılar:

• Slashdot da konunun muhabbeti
• Bir Security Blogu
• LWN.NET
• Bir başka detaylı açıklama

Gökhan Eryol

2009-07-28 tarihinde yaygın bir şekilde kullanılan alan adı sunucu sistemi BIND yazılımında bir açık yayınlandı. Bu açık çok hızlı bir şekilde önümüze geldi. Bunun en önemli nedeni açığın çok çabuk duyurulmuş olması. Henüz pekçok sistem kendi güncellemelerini çıkarmadan/çıkaramadan açığın duyurusu yapıldı.

BIND’ın ne olduğunu merak edenler http://www.isc.org adresine bakabilirler. Açığın ayrıntılarına ise https://www.isc.org/node/474 (CVE-2009-0696) adresinden ulaşabilirler.

Kısaca BIND (şu anda 9.x versiyonu kullanılmaktadır) DNS denilen alan adı yönetim sistemini sağlayan bir yazılım. Dünyada çok yaygın olarak kullanılmaktadır.

Haberdeki açık ile bazı özel sorgulamalar ile named(8) uygulamasının durmasını (crash) ve sistemde servis kesintisi oluşması sağlanmaktadır.

BIND kullanan herkese güncelleme önerilir.

Debian için:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=538975

http://www.cyberciti.biz/tips/bind-dynamic-update-dos.html

hdemir.