Archives

Archive for the ‘Ağ Cihazları - Cisco’ Category

Geçen ay sonunda Cisco çok miktarda güvenlik bülteni yayınladı. Bu bültenleri takip etmekte yarar var. Bazı açıklar için Cisco ücretsiz IOS güncellemesi desteği veriyor.
Unified Communications Manager SIP DoS açığı:
IOS IKE Açığı:
IOS Yetkilendirme Vekili açığı:
Unified Communications Manager Express açığı:
IOS Ağ Zaman Protokolü Açığı:
IOS Alan Tabanlı Güvenlik Duvarı Açığı:
IOS Bozuk Şifrelenmiş Paket DoS Açığı:
IOS [...]

Oct 7th, 2009 | Filed under Ağ Cihazları - Cisco

Aynı broadcast domainde bulunan iki sunucudan bir tanesinin kontrolü yabancı biri tarafından ele geçirilmesi (hacklenmeyi daha kibar tarif edemezdim valla :=) durumunda, bu sunucu diğer sunucuya L2 atakları yapma şansını elde eder. Ayrıca artık minimum 100Mb’lik bir hız ile diğer sunucuya saldırma şansını da elde etmiştir.
Buna çözüm her sunucuyu ayrı bir vlan koymak olabilir. Bu [...]

ULAK-CSIRT olarak, Akademik Bilişim ve Ulakbim Çalıştayı’nda “Zararlı yazılımlarla (malware) mücadele” konusunu ele alan sunumları yaptık. Bu konuyu ayrıntılı ele alan kılavuzun şu anki sürümüne (sürüm 0.1) aşağıdaki adresten ulaşabilirsiniz:
Kurumsal Ağlarda Zararlı Yazılımlarla (malware) Mücadele Kılavuzu 
http://csirt.ulakbim.gov.tr/dokumanlar/RAPOR_KurumsalAglardaZararliYazilimlaSavas_surum01.pdf
Amacımız size kurumsal güvenlik konusunda kapsamlı bir kılavuz sağlamak. Çok katmanlı güvenlik esasları ele alındı ve problemin bütün çözümleri incelendi.
Şu [...]

Kablosuz ağlarda güvenli erişimi sağlamak için SSL tabanlı bir yetkilendirmeye ihtiyaç duyulmaktadır. Aynı şekilde yetkilendirilmiş kişilerin verilerinin güvenli bir şekilde geçirilmesi de özellikle kablosuz ağlarda önem arz etmektedir. Dolayısı ile Linux işletim sistemi üzerinde çalışan bir RADIUS sunucu bu gereksinimleri rahatlıkla sağlayabilmektedir.
Bu konuda EAP-TLS (veya EAP-TTLS) rahatlıkla kullanılabilir. Bunun için Linux’e FreeRadius ve OpenSSL kurulması [...]

Türk Telekom BGP Community’leri 
Bu hafta Türk Telekom’un yeni servisi hakkında yazmak gerekti. Esasen yeni de haberimiz oldu. TT böyle şeyleri müşterilerine daha hızlı duyursa iyi olur gibi geliyor.
Detaylar için http://www.turktelekom.com.tr/webtech/default.asp?sayfa_id=452 adresinebakın diyeceğim ama çok detay yok. Bizim gibi MPLS kullanmayan üniversiteler için biraz bilgi gerekiyor. Ne yazıkki TT bu konuda örnek vermemiş.
BGP’de Community tanımları ile [...]

Akademik Bilişim 2008 için “Kurumsal Ağlarda Zararlı Yazılımlarla (malware) Mücadele Yöntemleri” bildirisini hazırladık.
Bildiri, 31 Ocak Perşembe günü Ulakbim oturumunda Gökhan Akın tarafından sunulacak.
Bu belge; Enis Karaarslan, Gökhan Akın ve Hüsnü Demir tarafından hazırlandı.
Bu döküman, konunun ana hatlarını gösteren bir özettir ve yakında kapsamlı bir rapora dönüşmesi hedeflenmektedir. Bu konuda her türlü öneri, yorum [...]

Interface bazında bazı önlemler alarak çeşitli saldırılar engellenebileceği gibi, cihazın üzerinde gereksiz oluşabilecek yükte azaltılabilir. Bu amaçla kullanılacak komutlar genel olarak kullanılması tavsiye edilmektedir, ancak kullanmadan önce uygulanacak ağın ihtiyaçları da göz önüne alınmalıdır. Ayrıca uyguladıktan sonra sonuçlarını gözlemlemeniz tavsiye ederim. Sonra kaş yapalım derken 
Uygulanabilecek Komutlar:
ip verify unicast source reachable-via rx allow-default : [...]

Jan 27th, 2008 | Filed under Ağ Cihazları - Cisco, Ağ Güvenliği

PIX ve ASA cihazların bazı yazılım versyonlarında güvenlik açığı bulunmuş. Buna göre “decrement-ttl” özelliği açılmış cihazlara bozuk bir IP paketi zarar verilebiliyormuş. (cihazı yeniden başlatmak gibi )

Jan 24th, 2008 | Filed under Ağ Cihazları - Cisco, Güvenlik Açıkları

Cisco’nun gelişmiş cihazlarında, vlan bazlı olarak her makineye QOS uygulanabilmektedir. Buna UBRL (User Based Rate Limit) denir.
Karmaşık bir ayar olmasına rağmen, deneyimlerimiz ışığında aşağıdaki örnekten bir fikir edinebileceğinizi düşünüyorum. Tabii ki her ağa göre “ince ayarlanması” gerekecektir. Detaylar için http://www.cisco.com dan ilgili belgeleri okumayı unutmayınız.
Ayrıntılar: …

Jan 21st, 2008 | Filed under Ağ Cihazları - Cisco, Ağ Güvenliği

Switchlerde port bazında MAC adresi güvenliği uygulaması zor bir çözümdür. Böyle bir işleme gidebilmek için önce bütün kullanıcıların MAC adresleri toplanmalı ve bu bilgiler sürekli güncel tutulmalıdır. Kaldiki diyeceksiniz ki günümüzde MAC adresi çok kolay değiştirilebilmektedir. Yani o porttan aynı MAC adresini veren başka bir kullanıcıda erişebilir.
Benim bunlara cevabım ise MAC adresi güvenliği uygulanması durumunda:
1- [...]

Jan 21st, 2008 | Filed under Ağ Cihazları - Cisco, Ağ Güvenliği