Archives

Archive for January, 2008

Akademik Bilişim 2008 için “Kurumsal Ağlarda Zararlı Yazılımlarla (malware) Mücadele Yöntemleri” bildirisini hazırladık.
Bildiri, 31 Ocak Perşembe günü Ulakbim oturumunda Gökhan Akın tarafından sunulacak.
Bu belge; Enis Karaarslan, Gökhan Akın ve Hüsnü Demir tarafından hazırlandı.
Bu döküman, konunun ana hatlarını gösteren bir özettir ve yakında kapsamlı bir rapora dönüşmesi hedeflenmektedir. Bu konuda her türlü öneri, yorum [...]

Bir forumdan aldım. Benzer şeyler yazılabilir (hatta yazıp kullanıdığımda var). Rakamlar değiştirilebilir.
# SSH denemelerini durdur - 10 dk icerisindeki 3 ve daha fazla deneme
# 10 dk.ligina REJECT et.

/sbin/iptables -N SSH-EVIL
/sbin/iptables -A SSH-EVIL -m recent –name badSSH –set -j LOG
–log-level DEBUG –log-prefix “evil SSH user: ”
/sbin/iptables -A SSH-EVIL -j REJECT

/sbin/iptables -N SSH
/sbin/iptables -A [...]

Interface bazında bazı önlemler alarak çeşitli saldırılar engellenebileceği gibi, cihazın üzerinde gereksiz oluşabilecek yükte azaltılabilir. Bu amaçla kullanılacak komutlar genel olarak kullanılması tavsiye edilmektedir, ancak kullanmadan önce uygulanacak ağın ihtiyaçları da göz önüne alınmalıdır. Ayrıca uyguladıktan sonra sonuçlarını gözlemlemeniz tavsiye ederim. Sonra kaş yapalım derken 
Uygulanabilecek Komutlar:
ip verify unicast source reachable-via rx allow-default : [...]

Jan 27th, 2008 | Filed under Ağ Cihazları - Cisco, Ağ Güvenliği

Log’ları merkezi bir sunucuya göndermek için syslog veya syslog-ng kullanılabilir. Bu durumda merkezi sunucuda da gelen logları bekleyecek bir yazılımın çalışması gerekmektedir.
Syslog-ng, ek özellikleri ve Stunnel [4] ile log’ları şifreli gönderebilmesi yeteneklerinden dolayı tercih edilmelidir.
Sistem yöneticileri Ranum’un bu konudaki ayrıntılı belgesini [1] mutlaka incelemelidir. Gelişmiş log analizi için [2], [5], [6] nolu referans [...]

Jan 27th, 2008 | Filed under Ağ Güvenliği, İşletim Sistemleri - Linux

Log dosyalarını düzenli takip etmemiz gerekiyor, eğer bir sunucu takip ediyorsak aslında çok problem değil, her gelen logun ekrana basılmasını sağlayabiliriz:
tail -f /var/log/syslog
(Bu arada, bir terminal penceresinin hep açık olduğunu ve sizin her basılan mesajı takip ettiğinizi varsayıyoruz ki bu da her zaman mümkün değil )
Ama bu sadece kendi makinanızda işe yarayabilir. Yüklü bir sunucuyu [...]

Jan 27th, 2008 | Filed under Ağ Güvenliği, İşletim Sistemleri - Linux

Açık kaynak kodlu çok ama çok yararlı bir uygulama olan DNSTOP http://dns.measurement-factory.com/tools/dnstop/ tarafından geliştirilmiştir. Bu uygulama sayesinde gelen giden tüm DNS trafiği rahatlıkla gözlenebilmektedir. En çok yapılan saldırılar gözlenmektedir. Aynı şekilde yanlış ayarlanmış kullanıcılarda rahatlıkla bulunabilir.
IPv4 ve IPv6 uyumlu olan bu uygulama ile nerede ise tüm DNS trafiği görülebilmektedir. Çok yoğun isteklerin büyük bir kısmı [...]

Aşağıdaki satırlar ile üzerinde servis vermediğiniz cihazınıza gelebilecek pekçok saldırıdan kurtulmuş olursunuz. GNU/Linux’ ün güzelliklerinden biri. Tabii benzer bir sistem BSD sistemlerinde de mevcut. Bir gün onuda ekleriz.
# Tüm Gelen gidenleri otomatik olarak düşür
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Bizden dışarıya giden herşeye izin ver.
iptables -I OUTPUT -m state –state NEW,RELATED,ESTABLISHED [...]

IEEE 802.11n standardı ile daha hızlı bir kablosuz erişim sağlama çabaları halen devam etmektedir. MIMO sayesinde hem hız hemde mesafede iyileştirmeye gidilmesi planlanıyor.
Tabii .11n’den önce özellikle İsrail firmalarının (Tel Aviv Üniversitesi ile beraber) MIMO teknolojilerinin de kullanımı ile hem hız hem de mesafe iyileştirmeleri yapılmaktadır. Mesela Wavion şirketinin ISRC ile beraber geliştirilen bir ürün grubuna [...]

Jan 26th, 2008 | Filed under Kablosuz Ağlar

PIX ve ASA cihazların bazı yazılım versyonlarında güvenlik açığı bulunmuş. Buna göre “decrement-ttl” özelliği açılmış cihazlara bozuk bir IP paketi zarar verilebiliyormuş. (cihazı yeniden başlatmak gibi )

Jan 24th, 2008 | Filed under Ağ Cihazları - Cisco, Güvenlik Açıkları

Zararlı yazılım (malware) etkinliğini saptamak için honeypot (bal kübü - saldırgan tuzağı) kullanılabilir.
Bu tür sistemlere örnek olarak:
* Nepenthes - http://nepenthes.mwcollect.org/
Kurulum ayrıntıları: http://viki.csirt.ulakbim.gov.tr/index.php/Nepenthes_honeypot_kurulumu_ve_yap%C4%B1land%C4%B1r%C4%B1lmas%C4%B1
* Amun - (Python ile yazılmıştır be yeni zayıflık modülleri eklenenebilir)
http://zero.ram.rwth-aachen.de/amun/