Afşin Taşkıran

Gecen ay duyurulan Sun Solaris 10 telnet acigi Sun’in yayinladigi bir yama ile kapatilmisti. Ancak bu yamayi yapmayan ya da onlem almayan sistemlere cok basit bir sekilde giris yapilabiliyor.

Yeni belirlenen bir worm ise bu acigi kullaniyor. Agda bulunan sistemlerin 23. portlarini tarayarak acik olanlara saldiriyor. Daha sonra bu sistem de zombie hale geliyor ve diger sistemlere saldirmaya basliyor.

Yapilmasi gereken ise ya ilgili yamayi sisteme uygulamak ya da telnet yerine daha guvenli erisim modelleri (ssh) kullanmak.

Arania, sisteminize yapilan uzaktan kod calistirma, injection gibi yontemler icin web kayitlarini inceleyebileceginiz bir guvenlik araci. Simdilik Mambo ve Jambo CMS leri ile GET fonksiyonu icin duzgun bir sekilde calisabiliyor. Diger uygulamalarda kullanilabilmesi icin calismalari suruyor.

Arania’yi kullanabilmeniz icin sisteminizde perl kurulu olmasi gerekli. Sonrasinda web kayitlarinizi incelenmek uzere arania ya vermeniz yeterli.

# cat /var/log/apache2.log | arania >> arania.log

ModSecurity bildiginiz gibi web uzerinden gelebilecek saldirilara karsi kullanilan Web Applicatian Layer Firewall . Iyi yapilandirildigi vakit ModSecurity ile uygulama seviyesinden gelen saldirilari cok basarili bir sekilde berteraf edebiliyorsunuz.

Yeni baslatilan Cool Rules projesi ile topluluktan kisilerin yazdigi ModSecurity kurallari bir catida toplanilmaya calisiliyor. Bu sayede hem proje daha basarili bir hale gelecek hem de topluluk ile cekirdek gelistiricilerin kaynasmasi saglanacak.

Tabi ki yazilan her kural projeye dahil edilmeyecek. Projenin isminden de anlasildigi uzere yazilan kurallarin cok saglam ve kullanilabilir olmasi gerek. Gercek saldirilarda basari kaydetmesi de dikkate alinacak.

Daha onceki yazilarimda OpenSolaris’in kurulum zorluklarindan ve diger OpenSolaris dagitimlarindan sozetmistim. OpenSolaris projesindekiler de bunun farkinda olacak ki OpenSolaris kullanabilmek icin gerekli bir cok seyi bir araya getirmis.

OpenSolaris’e başlamak isteyenlerin isini kolaylastiracak “OpenSolaris Starter Kit” duyuruldu. Bu kitin icinde belgeler, dokumanlar, OpenSolaris topluluk dagitimlari, kaynak kodlar ve cesitli araclar bulunuyor. Kit iki adet DVD den olusuyor ve tamami ucretsiz.

Paket icerigine bakarsak;

* Solaris Express
* Live CDs
- Nexenta OS
- BeleniX
- SchilliX
* Sun Studio Derleyicileri
* OpenSolaris Kaynak Kodlari

OpenSolaris meraklilarinin cd cantalarindan kesinlikle cikmayacak bir kit.

Istanbul Bilgi Universitesi’nde duzenlenen Ozgur Yazilim ve Acik Kaynak Gunleri etkinliginde 4 Mart 2007 Pazar gunu saat 15:00 de “Linux Uzerinde Ileri Duzey Guvenlik Duvari Uygulamalari” baslikli bir sunum yapacagim. Sunumda deyinecegim ana basliklardan soz etmek gerekirse;

Kopru modunda Linux
ebtables ile L2 paket filtreleme
Iptables ile paket filtreleme ve NAT işlemleri
Patch-o-matic
L7-filter ile güvenlik duvarı işlemleri
Linux ile trafik kontrolü ve QOS
Cluster yapıda Linux güvenlik duvarı

Ayrica EnderUnix ekibinden Baris Simsek‘in “Acik Kod Voip Cozumleri” ve Huzeyfe Onal‘in da “Ozgur Güvenlik Yazilimlari ile Sinir Güvenligi - Ozgur Yazilimlar Ne Kadar Yeterlidir? ” baslikli sunumlari olacak.

27 Subat 2007 gunu Swiss Otel’de IDC IT Security Roadshow 2007 etkinligi duzenleniyor. Turkiye’de duzenlenen guvenlik temelli en profesyonel etkinlik olmasi nedeniyle guvenlik uzmanlarini bir araya getirecegi tahmin ediliyor.

OpenSolaris projesinin acik kod dunyasina kattigi en buyuk yazilimlardan biri hic kuskusuz ZFS (Zettabyte File System) oldu.

ZFS; guvenlik, kararlilik, kolay yonetilebilirlik gibi bir cok ozelligi ile var olan dosya sistemlerinin onune geciyor. ZFS’e bu ismin verilmesinin nedeni ise alfabedeki son harfin “Z” olmasi. Yani mukemmellik olarak bundan sonrasi olamaz anlamina geliyor.

Lisanslama turu olarak OpenSolaris ve Solaris’de oldugu gibi ozel bir acik kod lisansı olan CDDL kullaniliyor.

ZFS’in getirdiklerini ana hatlariyla siralamak gerekirse;

- Pooled storage modeli
- Veri bozulmalarına karsi tam koruma
- Es zamanli veri temizleme
- Disk sifreleme desteği
- Hizli yerel yedekleme ve geri alma
- Yuksek olceklenebilirlik
- Yerlesik sIkIstirma
- Kolay yonetim

ZFS, 128 bit yapisiyla karsimiza geliyor. Guvenilirlik o kadar on plandaki elektrik kesintileri, dosya islemleri vb olasi durumlarda veri butunlugu garanti ediliyor.

Guncel Solaris ve OpenSolaris sistemlerde ZFS kullanilabilir durumda. ZFS’in diger isletim sistemlerinde kullanilmasina DragonFLY BSD ile baslandi diyebiliriz. Gectigimiz yilin Google yaz kampinda da Linux’a tasinmasi gerceklesti. FreeBSD isletim sistemininde 7x surumunde gelmesi bekleniyor.

Nat, Ip paketlerinin kaynak veya hedef adreslerinin port veya IP bilgilerinin değiştirilmesi işlemidir.

Iptables, tam olarak NAT’ı desteklemektedir. Kaynak ve hedef adreslerinin değiştirilmesine imkan sağlamaktadır.

NAT ve paket yönlendirme birlikte kullanılmasına rağmen çok farklı teknolojilerdir. Bir cok yonetici NAT islemi ile yonlendirme isleminin de gerceklesecegini dusunmektedir.

• Paket yönlendirme, iletim fonksiyonudur. Paket yönlendirme işlemleri filter tablosundaki FORWARD zinciri tarafından kontrol edilir.
• Nat ise nat tablosundaki çevrim fonksiyonudur. nat tablosu POSTROUTING, PREROUTING ve OUTPUT zincirlerini kullanır.

Kaynak ve hedef adreslerinin değiştirilmesine dayanan iki tür NAT vardır.

Kaynak NAT, paket yönlendirmesi gerçekleştikten sonra POSTROUTING zinciri ile yapılır. Hedef NAT ise paket yönlendirmesi gerçekleşmeden önce PREROUTING zinciri ile yapılır.

One-time-passwd adi verilen tek kullanimlik sifrelerin kullanimi oldukca artti. Yazilim uygulamarindan guvenlik duvari, sunucu girislerine kadar heryerde tek kullanimlik sifre uygulamasina gecilmeye calisiliyor.

Calisma yapisi olarak tum kimlik dogrulama bir Radius sunucudan gerceklesiyor. Yani sisteminizi ya da uygulamanizi Radius’dan sifre soracak sekilde ayarlamaniz gerekiyor. Kutu urunlerde one-time-passwd kullanimi daha kolay olsa da Linux ve BSD sistemlerde biraz sancili olabiliyor.

Linux sistemlerde Pam yardımı ile Radius sunucusu üzerinden kimlik doğrulama yapabilmek için pam_radius_auth modülünün kurulu olması gerekiyor. Aşağıdaki adresten bu modülü indirebilirsiniz.

http://www.freeradius.org/pam_radius_auth/

Kurulum asamasinda pam kutuphanelerinin yapilandirmasina dikkat etmeniz gerekiyor.

Juniper’in ag ve guvenlik gibi bir cok alanda sertifikasi mevcut. Juniper Router larin ve Netscreen Firewall larin profesyonel ortamlarda kullanilmasiyla bu cihazlara hakim kisilerin yetkinlikleri de onem kazaniyor.

Resmi olarak duyurulmamakla birlikte Netscreen tarafinda varolan Juniper Networks Certified Internet Associate (JNCIA-FWV) ve Juniper Networks Certified Internet Specialist (JNCIS-FWV) sertifikalarinin yanina bir de Juniper Networks Certified Internet Expert (JNCIE-FW) sertifikasi ekleniyor.

juniper firmasi bu sertifikalari uzmanlarin yetismesi ve bilgilerini belgelemeleri icin kullaniyor. Bunun yaninda cesitli is ortakliklari icin de bu belgelere sahip uzmanlarin bulunmasini sart kosuyor.

Cok saglam bir guvenlik duvari olan Netscreen’in ulkemizde de yayginlasmasiyla birlikte bunlara vakif uzman kisilere olan ihtiyacin da artmasi bekleniyor.