Afşin Taşkıran

Bu siralar all-in-one security diye tabir edilen guvenlik cozumleri moda olmaya basladi. Kisaca tabirden bahsetmek gerekirse hepsi bir arada guvenlik cozumlerinden kasit; guvenlik duvari, IDS/IPS, URL icerik filtreleme, virus tarama, VPN vb. ag sunucusu islevlerinin tek kutuda birlestirilmesi. Her cozum bir ihtiyactan ortaya cikiyor tabi ki. Bunlara ihtiyac duyulan yerler ise kucuk ve orta olcekli isletmeler ile guvenlik butcelerinin ve gereksinimlerinin kisitli olmasi.

Hepsi bir arada guvenlik cozumleri, donanim maliyeti bakimindan ciddi kazanclar saglayabiliyor. Guvenlik duvari, IDS/IPS gibi islevleri olan sunuculari ayri cihazlara kurmaktansa ya da satin almaktansa tek sunucuda bunlari halledebiliyorsunuz. Ancak guvenlik acisindan ciddi sikintilar da yasatabiliyorlar. Idealde bir IDP nin L2 modda calismasi gerekirken L3 de bulunmasi gereken bir guvenlik duvariniz oldugundan bu islevden feragat ediyorsunuz, orta yolu bulmaya calisiyorsunuz. Ayrica ayrik guvenlik anlayisini da hice sayan bir model gibi karsimiza cikiyor. Sunucu uzerinde bir cok yazilim calistigindan herhangi birinde cikabilecek olasi guvenlik acigindan tum sisteminiz etkilenebiliyor.

Olayin ic yuzune bakarsak Linux ve BSD tabanli cogu guvenlik duvari uzerinde proxy, icerik filtreleme ve IDP gibi ozellikler eskiden beri ayni anda calistiriliyordu. Ancak ticari guvenlik cozumleri hem maliyetleri hem de teknik nedenler ile bu sekilde calistirilamiyordu. Bu siralar tekrar gundeme gelmesinin nedeni ise ticari guvenlik firmalarinin bu pazara da girmesi. Check Point ile ISS firmasinin all-in-one cozumleri ipi gogusleyenler arasinda. Check Point’in UTM-1 kutusu gercekten incelemeye deger gercekten. Check Point FW’nin ayrik mimarisi ve yazilimsal bir cozum olmasi nedeniyle kucuk isletmelerde kullanimi zordu. Ancak UTM-1 kutusu ile hepsi bir arada guvenlik anlayisi ve ek bir donanim gerektirmemesi bir arti sunuyor. Kim bilir belki Check Point’in en buyuk eksilerinden biri olarak gordugum standart bir donanim ile butunlesik calismayisina da bir cozum getirilebilecek. Ayni sekilde ISS’ in M serisi guvenlik cozumleri de bunlardan biri. Her ne kadar Linux isletim sistemi uzerine kurulu bir yapi olsa da daha da gelismesini bekliyorum. Tum bunlar bize gosteriyor ki ticari guvenlik firmalari da artik KOBI pazarina inmeye calisiyor.

Daha once Solaris Express in Community Release ini kullanmistim. SECR kullanmaktaki amac ise OpenSolaris icin alt yapi olusturmakti. Ancak Solaris Express in oyle de bir surumu var ki tam olarak yazilim gelistiriciler icin.

Solaris Express Developer Edition, OpenSolaris temelli bir sistem. Solaris, Java ve Web 2.0 icin uygulamalar gelistirebiliyorsunuz. Ayni zamanda Solaris API leri icin test ortami da sunuyor.

Son surumu olan 2/07 ise simdilik sadece x86 tabanli sistemlerde calisabiliyor.

SEDE’ a asagidaki adresten sahip olabilirsiniz.

http://developers.sun.com/solaris/downloads/solexpdev/

Bugun haber listelerinde cok yanki bulan bir guvenlik acigi yayinlandi.

http://www.securityfocus.com/bid/22512/

Guvenlik acigina gore telnet servisi calistiran Solaris 10 isletim sistemlere uzaktan cok kolay bir sekilde erisilebiliyor. Solaris 8 ve 9 olan sistemlerde bu acigi denedim ama calismadi.

Kisa vadede yapilmasi gereken ise, Solaris 10 olan sistemlerde telnet servisini kapatip ssh (OpenSSH veya SunSSH) kullanmaya baslamak.

svcadm disable telnet

Solaris’in son surumu olan S10 11/06 ise telnet servisi ontanimli kapali geliyor. OpenSolaris sistemler de bu aciktan etkileniyor.

Güvenlik duvarlarının çıkış amacı gelen ve giden paketleri kontrol altında tutabilmek ve dolayısıyla paket filtreleme yapmaktı. Ancak gelişen ihtiyaçlar ile birlikte güvenlik duvarları birden fazla ağ katmanı arasında yönlendirici cihazlar gibi konumlandırılmaya başlandı. Böylece güvenlik duvarına gelen ve güvenlik duvarından giden paketlerin kontrolünün dışında hedefi farklı ağ katmanlarındaki sistemler olan paketler üzerinde kontrol yapılmaya başlandı. Günümüzde çalışan bir çok güvenlik duvarı da bu mantığa göre çalışmaktadır.

Ağ geçidi olarak çalışan güvenlik duvarlarının farklı ağ katmanlarında IP adresi olması gerektiğinden ağ geçidinin gizliliği soz konusu olamaz. Varolan bir ağ yapısına güvenlik duvarı konumlandırılmak istendiğinde ağ katmanlarının ayrılması ve en az iki ağ katmanı oluşturulması gerekir. Adres yönlendirme gerekmeyen ağlarda güvenlik duvarının ilgili ağ arayüzünde IP adresi olmadan çalıştırılabilmesi, bu gibi güvenlik ve yapılandırma problemlerine çözüm getirmektedir. Güvenlik duvarının bu şekilde çalıştırılmasına köprü modu da ( bridge mode ) denmektedir.Ayrıca köprü modunda çalıştırılırken kullanıcılara hissettirmeden trafik kontrolu yapılabilmektedir. Layer 7 paket filtreleme ve IDS/IPS sistemler için ideal yapıdır.

Bu belgeye kişisel web adresimden ve EnderUnix belge deposundan erişebilirsiniz.

Eylul 2007 de ilki duzenlenecek “The Black and White Ball” konferansi icerik olarak cok ilgi cekecege benziyor. Etkinlik 2 farkli formattan olusuyor. 4 gun surecek konferanslarin ilk iki gununde hacker teknikleri ve saldiri yontemleri, son iki gununde ise guvenlik koruma yontemleri ve taktikleri uzerinde durulacak.

Konferanslarda icerik olarak bilgi guvenligi, network guvenlik testleri, hacking yontemleri, adli tespit metotlari gibi konular ele alinacak.

Bir suredir ag haberlesmesinin sifrelenmesi uzerine dusunuyorum. Amac ise aginiza dahil olan bir saldirganin diger sistemleri dinlese bile sifreli bir trafik gozlemlemesini saglamak, belirli bir ag gecidinden sonrasina da erismesini engellemek.

Bu gereksinime karsi aslinda Cisco ve Nortel’in L2 seviyesinde mudahale eden NAC cozumleri var. NAC’in kabaca yaptigi sey ise aga dahil olmak isteyen sistemin yeterliliklerine bakmak ve aga dahil etmek.

Daha sonra bu sifrelemenin hem wide area baglaminda hem de yerel ag baglantisi baglaminda olabilecegini dusundumç Wide area’daki cozum bir nevi var aslinda, VPN. VPN uzerinden sifreleme kullanarak uzak noktalariniz arasinda sifreleme yapabiliyorsunuz.

Ancak istemci sistemler ile ag gecidiniz arasindaki haberlesme daha dusundurucu. ilk asamada sahte bir vpn agi olusturup gw ye kadar istemcileri vpn ile getirmeyi dusundum. Ancak bu cozum L2 seviyesinde bir sifreleme yine saglamiyor. istemci IP leri gorulebliyor. Ayrica ag gecidinden sonrasi icin de IP bagimsiz kural yazabilmeliydim.

VPN cozumu sakli kalmakla birlikte daha profesyonel ve bu isler icin ortaya atilmis cozumler uzerinde durdum. Ilk karsima cikan SafeNet in L3 sifreleme urunleri oldu. Ancak Bu kutularin istemcilerle konusabilmeleri icin bir cozumu mevcut degil. Tamamen wide arealar icin gelistirilmis bir cozum gibi duruyor. Bir diger urun de Fortress firmasinin FC model sifreleme cihazlari. Bu cihazlar wide area aglarda karsilikli iki ag gecidi olarak calisabiliyorlar. Ayni zamanda istemci yazilimlari sayesinde yerel ag ile ag gecidinin onune konan Fortress cihazi sayesinde sifrelenmis bir alan sagliyorlar. Cihazin en taktir ettigim ozelligi L2 uzeri bir sifreleme saglayabilmesi. istemci ile Fortress-gw arasindaki trafigi dinleseniz bile sifreli bilgiler ve mac adresinden baska bir bilgi alamiyorsunuz. Ayni zamanda bu trafigin taklit edilmesi de mumkun degil. Wireless ag guvenligi icin bicilmis kaftan gibi. Kablosuz aginizi gozlemleyen bir saldirgan mac adreslerinden baska bir bilgiye ulasamiyor. IP bilgisini de yakalayamadigindan IP kandirmacalari cok zor bir hal aliyor. Saldirgan aga dahil olsa bile Fortress-gw sayesinde access point inizi gecemez hale geliyor. Agdaki diger istemcilerle de dogrulamasi olmadigindan iletisim kuramiyor.

Guvenlik gereksinimlerinizin arttikca maliyetlerinizin de artacagini unutmamak gerekiyor.

OpenSolaris projesi 1,5 seneyi askin suredir devam ediyor. Bir cok insan da OpenSolaris’i kurup denemek istiyor. Ancak OpenSolaris kurulu bir sisteme sahip olmak icin oncelikle temel bir Solaris sisteme sahip olmaniz gerekiyor. Sisteminize temel paketlerle bir Solaris kurduktan sonra OpenSolaris.org dan indirebileceginiz paketlerle OpenSolaris sahibi olabiliyorsunuz. Ancak hemen belirtmek gerekirse bu paketleri kurmak gercekten kolay degil. Hem teknik zorluklari var hem de cok uzun bir kurulum sureci var. Uzun oldugunu belirtmek icin nightly diye bir kurulum islemi bile var. Eger OpenSolaris’i elle kurmak isterseniz EnderUnix OpenSolaris Proje Sayfalarina bakmanizi oneririm. Bu konuda hazirlamis oldugumuz cesitli belgeler var.

Kisa yoldan OpenSolaris sahibi olabilmek icin kendi kurulumunuz yerine hazir kurulumlar da tercih edebilirsiniz. OpenSolaris projesinin olgunlasmasiyla bu dagitimlarin kararliligi ve kullanilabilirligi de artti. Bu dagitimlardan bahsedersek;

Belenix:

Belenix, cd den calisabilen bir OpenSolaris dagitimidir. Sabit diskinize herhangi bir kurulum gerektirmiyor. Ancak isterseniz sabit diskinize ya da USB disklere kurabilirsiniz.

Nexanta:

Nexanta, cekirdek itibariyle SunOS cekirdegine sahip bir dagitim. Ancak ust katman itibariyle GNU ve ozellikle Debian bilesenlerini kullaniyor. SunOS cekirdegine sahip bir sistemde apt-get calistirmanin zevki de ayri oluyor.

Schillix:

Kurulumu Nexanta ve Belenix’e gore daha zor. Ust seviye kullanicilara hitap eden bir dagitim.

Martux:

Sadece Sparc islemcili sistemleri destekliyor.

Netscreen fw cihazlarin en buyuk eksigi olarak gordugum ozelligi kayitlarin incelenebilmesindeki zorluk. Netscreen’in rakibi olan Check Point’de olan SmartView Tracker prgrami kayitlarin cok detayli yonetilmesini ve gozlemlenebilmesini sagliyor. Netscreen’de ise policy lere eklediginiz log ozelligi ile ancak ilgili policy uzerinden gozlem yapabiliyorsunuz.

Bu gibi dertlere deva olmasa da kurulu oturumlarin analiz edilmesinde cok kullanisli bir araca rastladim; Netscreen Session Analyzer . Telnet ya da SSH ile netscreen cihaza baglandiktan sonra loglari bir tftp sunucuya aktarmaniz gerekli.

get session > tftp tftp_ip_address tftp_file

Loglari aldiktan sonra NSSA sayesinde detayli inceleme yapabiliyorsunuz. Faydali bir yazilim.

Uzun zamandir bir web gunlugunun gerekliligi uzerine dusunuyordum. Sonunda boyle bir gunluk acmaya karar verdim. Bunun nedeni ise kendi notlarimi aklimdan baska bir yere yazmamam olmustu. Belki diger insanlara faydasi olur dusuncesiyle bazi notlarimi paylasmaya karar verdim. Bu alana teknik icerikten baska birsey yazmayi dusunmuyorum. Birilerine ufacik da olsa yardimim dokunmasi dileklerimle..