Afşin Taşkıran

Gecen ay duyurulan Sun Solaris 10 telnet acigi Sun’in yayinladigi bir yama ile kapatilmisti. Ancak bu yamayi yapmayan ya da onlem almayan sistemlere cok basit bir sekilde giris yapilabiliyor.

Yeni belirlenen bir worm ise bu acigi kullaniyor. Agda bulunan sistemlerin 23. portlarini tarayarak acik olanlara saldiriyor. Daha sonra bu sistem de zombie hale geliyor ve diger sistemlere saldirmaya basliyor.

Yapilmasi gereken ise ya ilgili yamayi sisteme uygulamak ya da telnet yerine daha guvenli erisim modelleri (ssh) kullanmak.

Arania, sisteminize yapilan uzaktan kod calistirma, injection gibi yontemler icin web kayitlarini inceleyebileceginiz bir guvenlik araci. Simdilik Mambo ve Jambo CMS leri ile GET fonksiyonu icin duzgun bir sekilde calisabiliyor. Diger uygulamalarda kullanilabilmesi icin calismalari suruyor.

Arania’yi kullanabilmeniz icin sisteminizde perl kurulu olmasi gerekli. Sonrasinda web kayitlarinizi incelenmek uzere arania ya vermeniz yeterli.

# cat /var/log/apache2.log | arania >> arania.log

ModSecurity bildiginiz gibi web uzerinden gelebilecek saldirilara karsi kullanilan Web Applicatian Layer Firewall . Iyi yapilandirildigi vakit ModSecurity ile uygulama seviyesinden gelen saldirilari cok basarili bir sekilde berteraf edebiliyorsunuz.

Yeni baslatilan Cool Rules projesi ile topluluktan kisilerin yazdigi ModSecurity kurallari bir catida toplanilmaya calisiliyor. Bu sayede hem proje daha basarili bir hale gelecek hem de topluluk ile cekirdek gelistiricilerin kaynasmasi saglanacak.

Tabi ki yazilan her kural projeye dahil edilmeyecek. Projenin isminden de anlasildigi uzere yazilan kurallarin cok saglam ve kullanilabilir olmasi gerek. Gercek saldirilarda basari kaydetmesi de dikkate alinacak.

Istanbul Bilgi Universitesi’nde duzenlenen Ozgur Yazilim ve Acik Kaynak Gunleri etkinliginde 4 Mart 2007 Pazar gunu saat 15:00 de “Linux Uzerinde Ileri Duzey Guvenlik Duvari Uygulamalari” baslikli bir sunum yapacagim. Sunumda deyinecegim ana basliklardan soz etmek gerekirse;

Kopru modunda Linux
ebtables ile L2 paket filtreleme
Iptables ile paket filtreleme ve NAT işlemleri
Patch-o-matic
L7-filter ile güvenlik duvarı işlemleri
Linux ile trafik kontrolü ve QOS
Cluster yapıda Linux güvenlik duvarı

Ayrica EnderUnix ekibinden Baris Simsek‘in “Acik Kod Voip Cozumleri” ve Huzeyfe Onal‘in da “Ozgur Güvenlik Yazilimlari ile Sinir Güvenligi - Ozgur Yazilimlar Ne Kadar Yeterlidir? ” baslikli sunumlari olacak.

27 Subat 2007 gunu Swiss Otel’de IDC IT Security Roadshow 2007 etkinligi duzenleniyor. Turkiye’de duzenlenen guvenlik temelli en profesyonel etkinlik olmasi nedeniyle guvenlik uzmanlarini bir araya getirecegi tahmin ediliyor.

One-time-passwd adi verilen tek kullanimlik sifrelerin kullanimi oldukca artti. Yazilim uygulamarindan guvenlik duvari, sunucu girislerine kadar heryerde tek kullanimlik sifre uygulamasina gecilmeye calisiliyor.

Calisma yapisi olarak tum kimlik dogrulama bir Radius sunucudan gerceklesiyor. Yani sisteminizi ya da uygulamanizi Radius’dan sifre soracak sekilde ayarlamaniz gerekiyor. Kutu urunlerde one-time-passwd kullanimi daha kolay olsa da Linux ve BSD sistemlerde biraz sancili olabiliyor.

Linux sistemlerde Pam yardımı ile Radius sunucusu üzerinden kimlik doğrulama yapabilmek için pam_radius_auth modülünün kurulu olması gerekiyor. Aşağıdaki adresten bu modülü indirebilirsiniz.

http://www.freeradius.org/pam_radius_auth/

Kurulum asamasinda pam kutuphanelerinin yapilandirmasina dikkat etmeniz gerekiyor.

Bu siralar all-in-one security diye tabir edilen guvenlik cozumleri moda olmaya basladi. Kisaca tabirden bahsetmek gerekirse hepsi bir arada guvenlik cozumlerinden kasit; guvenlik duvari, IDS/IPS, URL icerik filtreleme, virus tarama, VPN vb. ag sunucusu islevlerinin tek kutuda birlestirilmesi. Her cozum bir ihtiyactan ortaya cikiyor tabi ki. Bunlara ihtiyac duyulan yerler ise kucuk ve orta olcekli isletmeler ile guvenlik butcelerinin ve gereksinimlerinin kisitli olmasi.

Hepsi bir arada guvenlik cozumleri, donanim maliyeti bakimindan ciddi kazanclar saglayabiliyor. Guvenlik duvari, IDS/IPS gibi islevleri olan sunuculari ayri cihazlara kurmaktansa ya da satin almaktansa tek sunucuda bunlari halledebiliyorsunuz. Ancak guvenlik acisindan ciddi sikintilar da yasatabiliyorlar. Idealde bir IDP nin L2 modda calismasi gerekirken L3 de bulunmasi gereken bir guvenlik duvariniz oldugundan bu islevden feragat ediyorsunuz, orta yolu bulmaya calisiyorsunuz. Ayrica ayrik guvenlik anlayisini da hice sayan bir model gibi karsimiza cikiyor. Sunucu uzerinde bir cok yazilim calistigindan herhangi birinde cikabilecek olasi guvenlik acigindan tum sisteminiz etkilenebiliyor.

Olayin ic yuzune bakarsak Linux ve BSD tabanli cogu guvenlik duvari uzerinde proxy, icerik filtreleme ve IDP gibi ozellikler eskiden beri ayni anda calistiriliyordu. Ancak ticari guvenlik cozumleri hem maliyetleri hem de teknik nedenler ile bu sekilde calistirilamiyordu. Bu siralar tekrar gundeme gelmesinin nedeni ise ticari guvenlik firmalarinin bu pazara da girmesi. Check Point ile ISS firmasinin all-in-one cozumleri ipi gogusleyenler arasinda. Check Point’in UTM-1 kutusu gercekten incelemeye deger gercekten. Check Point FW’nin ayrik mimarisi ve yazilimsal bir cozum olmasi nedeniyle kucuk isletmelerde kullanimi zordu. Ancak UTM-1 kutusu ile hepsi bir arada guvenlik anlayisi ve ek bir donanim gerektirmemesi bir arti sunuyor. Kim bilir belki Check Point’in en buyuk eksilerinden biri olarak gordugum standart bir donanim ile butunlesik calismayisina da bir cozum getirilebilecek. Ayni sekilde ISS’ in M serisi guvenlik cozumleri de bunlardan biri. Her ne kadar Linux isletim sistemi uzerine kurulu bir yapi olsa da daha da gelismesini bekliyorum. Tum bunlar bize gosteriyor ki ticari guvenlik firmalari da artik KOBI pazarina inmeye calisiyor.

Bugun haber listelerinde cok yanki bulan bir guvenlik acigi yayinlandi.

http://www.securityfocus.com/bid/22512/

Guvenlik acigina gore telnet servisi calistiran Solaris 10 isletim sistemlere uzaktan cok kolay bir sekilde erisilebiliyor. Solaris 8 ve 9 olan sistemlerde bu acigi denedim ama calismadi.

Kisa vadede yapilmasi gereken ise, Solaris 10 olan sistemlerde telnet servisini kapatip ssh (OpenSSH veya SunSSH) kullanmaya baslamak.

svcadm disable telnet

Solaris’in son surumu olan S10 11/06 ise telnet servisi ontanimli kapali geliyor. OpenSolaris sistemler de bu aciktan etkileniyor.

Güvenlik duvarlarının çıkış amacı gelen ve giden paketleri kontrol altında tutabilmek ve dolayısıyla paket filtreleme yapmaktı. Ancak gelişen ihtiyaçlar ile birlikte güvenlik duvarları birden fazla ağ katmanı arasında yönlendirici cihazlar gibi konumlandırılmaya başlandı. Böylece güvenlik duvarına gelen ve güvenlik duvarından giden paketlerin kontrolünün dışında hedefi farklı ağ katmanlarındaki sistemler olan paketler üzerinde kontrol yapılmaya başlandı. Günümüzde çalışan bir çok güvenlik duvarı da bu mantığa göre çalışmaktadır.

Ağ geçidi olarak çalışan güvenlik duvarlarının farklı ağ katmanlarında IP adresi olması gerektiğinden ağ geçidinin gizliliği soz konusu olamaz. Varolan bir ağ yapısına güvenlik duvarı konumlandırılmak istendiğinde ağ katmanlarının ayrılması ve en az iki ağ katmanı oluşturulması gerekir. Adres yönlendirme gerekmeyen ağlarda güvenlik duvarının ilgili ağ arayüzünde IP adresi olmadan çalıştırılabilmesi, bu gibi güvenlik ve yapılandırma problemlerine çözüm getirmektedir. Güvenlik duvarının bu şekilde çalıştırılmasına köprü modu da ( bridge mode ) denmektedir.Ayrıca köprü modunda çalıştırılırken kullanıcılara hissettirmeden trafik kontrolu yapılabilmektedir. Layer 7 paket filtreleme ve IDS/IPS sistemler için ideal yapıdır.

Bu belgeye kişisel web adresimden ve EnderUnix belge deposundan erişebilirsiniz.

Eylul 2007 de ilki duzenlenecek “The Black and White Ball” konferansi icerik olarak cok ilgi cekecege benziyor. Etkinlik 2 farkli formattan olusuyor. 4 gun surecek konferanslarin ilk iki gununde hacker teknikleri ve saldiri yontemleri, son iki gununde ise guvenlik koruma yontemleri ve taktikleri uzerinde durulacak.

Konferanslarda icerik olarak bilgi guvenligi, network guvenlik testleri, hacking yontemleri, adli tespit metotlari gibi konular ele alinacak.