Syn Proxy'nin bilinmeyenleri - Nass oluyor da oluyor?

Bu blog yazısında Syn Flood saldırılarına karşı kullanılan savunma mekanizmalarından Syn Proxy'yi anlatacağım. İnternet servis sağlayıcılarından Superonline'da katıldığım görüşmede açıldı bu konu,soruyu soran garibanın da detayları bilmediği anlaşılıyordu. Blogun teması az bilineni anlatmak olduğu için ana fikirden kısaca aşağıdaki grafikle bahsedeceğim.Bizi ilgilendiren,syn-proxy bahsinin geçtiği her yerde gördüğünüz bu grafikte anlatılmayanlar;

Resim 1. Güvenlik çözümü ( FW / IPS ) hedef sunucu imiş gibi istemciden gelen iletişim isteklerini karşılar. İletişim isteği spoofed yani sahte bir kaynaktan gelmiyorsa şayet ve güvenlik çözümü istemciyle 3 yollu el sıkışmayı (3-way-handshake) tamamlayabildiyse bu isteği bu defa istemci imiş gibi sunucuya iletir, bir başka deyişle 3-way-handshake i tekrar eder (replay). Daha sonra istemci ve sunucu arasındaki veri iletişmi, kurulan bu bağlantı üzerinden devam eder.İstek spoofed Ip adresinden geliyorsa güvenlik çözümünün SYN-ACK bayraklı paketi ACK bayraklı paketle cevaplanmayacaktır,dolayısıyla istek sunucuya iletilmeyecektir. Sunucu da olan bitenden habersiz mutlu mesut çalışmaya devam eder.

Windows 2008 ve Syn Flood saldırıları - Nass oluyor da oluyor?

Türkçe

DDOS saldırılarını önleyebildiğini iddia eden firmalardan Prolexic'in 2012 ikinci çeyrek raporuna baktığımızda infrastructure denen OSI modelinin 3. ve 4. seviyelerini hedef alan SYN saldırılarının popülaritesini koruduğunu görüyoruz.

Bloğun teması az bilinenden bahsetmek olduğu için SYN saldırısı hangi prensiplere dayanır, nasıl gerçekleştirilir gibi kolayca ulaşabileceğiniz bilgilere pek fazla girmeyeceğim. Bu yazının konusu Windows 2008 ( Aslına bakarsanız Windows Vista'dan itibaren Windows 7, Windows 2008, Windows 2008 R2 ) işletim sistemlerinde SYN  ( flood ya da attack ) saldırısına karşı savunma mekanizmasının nasıl işlediği.

Hping ile Syn saldırısı yapmak veya yapamamak

Türkçe

Saldırı araçlarını kullanmayı pek sevmem ama Windows 2008'in Syn Flood ( ya da Syn Attack ) saldırısına ne derece dayanıklı olduğunu test etmek için bu aracı kullanmayı uygun buldum. Port tarama, firewall kurallarının testi gibi farklı amaçlar için de kullanılabilen aracın an itibariyle en güncel 3. versiyonu bulunuyor -ki Backtrack 5 ile birlikte gelen versiyon da bu.Yazının konusu Syn saldırısının temelleri,saldırı nasıl yapılır nasıl engellenir değil.Bu yazıda syn saldırısı yapmaya niyetli dimağlar için hpingin nasıl kullanılacağından ziyade nasıl kullanılmaması gerektiğinden bahsedeceğim.

Google ve benzeri arama motorlarında hping'in Syn saldırısı için kullanımıyla ilgili kaynak aradığınızda hep benzer tek satırlık komutları görürsünüz.

hping3 -p <hedef_port_numaras> -S <hedef_ip_adresi>

PCI DSS - Nass oluyor da oluyor? A'dan Z'ye PCI-DSS

Yandaki tablo VerizonBusiness'ın 2011 raporundan alınma,ödeme kartları bilgileri rapora konu olan olayların %78'inde çalınmış, toplam çalılan veri sayısının %96'sını oluşturuyor, daha önceki raporlarda da durum çok farklı değil, yalnız firmanın 2012 raporu gösteriyor ki kişisel verilere rağbet bu sene artmış ama ödeme kartları bilgileri yine revaçta. PCI DSS (Payment Card Industry Data Security Standard) hakkında yazacaklarımı okumaya başlamadan önce incelemeniz için bu tabloyu en başa koydum.
Bu konuyu tek blog yazısında ele alacağım,bu yüzden uzuun bir yazı olacak (tamamlanması da uzun sürebilir,fırsat buldukça yazabiliyorum) ama yazının sonuna gelip de başınızı kaldırdığınızda PCI DSS nedir,ne değildir,kimi bağlar,uyumlu olmak için yapılması gerekenler nelerdir gibi sorularınızın yanıt bulduğunu göreceksiniz.
PCI (Payment Card Industry) aslında Ödeme Kartları Endüstrisi demek ama bu terim genellikle PCI Security Standards Council (PCI SSC) denen ve sektördeki 5 dünya devinin (Visa, MasterCard, American Express, Discover,JCB) üyeliğiyle - "yaw kart sahtekarlıkları aldı başını gidiyor,önüne gelen kredi kartıyla ödeme kabul ediyor sonra canımız ciğerimiz müşterilerimizin bilgileri çalınıyor kartları kopyalanıyor.Böyle giderse kimse kart kullanmaz, müşterilerimizden ve paracıklarımızdan oluruz" gibi kaygılarla - 2006 yılında oluşturulmuş konseyi ifade ediyor.

IIS 7 - 7.5 Request Filtering - Nass oluyor da oluyor ? Rules & Headers

IIS 7 ve 7.5 ile birlikte gelen (rol servisi olarak yüklerseniz tabi) Request Filtering güvenlik özelliği ile yapılabileceklere devam edelim.

"Rules" sekmesi web sunucunuza gönderilen HTTP isteklerinde URL,Header,Query string gibi metinlerde kelime bazlı filtreleme yapmaya imkan verir. Örnek olması bakımından "User-Agent" Header değeri "Attack" ( piyasada kolaylıkla bulunabilecek acunetix gibi güvenlik tarayıcıları varsayılan olarak User-Agent header'ına belli değerler atarlar,benzer şekilde http saldırı araçları da öyle, bu tip basit saldırıları bu özelliği kullanarak engelleyebilirsiniz) ise web sunucumuzun erişilmek istenen sayfayı engellemesi için kullanılacak kural ekran görüntüsündeki gibi olmalı;

Kural tanımında "Scan URL","Scan Query String" işaretlenmediği için request-filtering modülü URL ve Query Stringi taramayacak.Benzer şekilde "Applies To" hanesinde "html,htm,asp,aspx" gibi dosya uzantısı da belirtmediğimiz için kural tüm dosya uzantılarına erişim isteklerine etki edecek.

"Header" hanesinde kontrol edilmesini istediğimiz header değerini yani "User-Agent" satırını ekledikten sonra, bu header değerinde reddedilecek kelimeyi "Deny Strings" alanında satır olarak ekliyoruz. Özetle kural, kendisine gelen isteklerin Header değerlerini kontrol edecek, "User-Agent: Attack" header'ı ile gelen istekleri reddedecek yani isteği 404 kodu ile cevaplayacak, daha kesin konuşmak gerekirse bu istek ve akabinde gönderilen cevap kayıt dosyasına 404.19 koduyla kaydedilecek. Daha önceki yazıdan hatırlarsanız 404.19 "Denied by filtering rule" anlamına geliyor.

IIS 7 - 7.5 Request Filtering - Nass oluyor da oluyor ? File Name Extension & HTTP Verb filtreleme

URLScan eklentisini bilirsiniz, IIS 6 ve öncesi versiyonlarda bir eklenti olarak kurulur kullanılırdı. Microsoft IIS 7 ile birlikte bu fonksiyonu "Request Filtering" rol servisi ile web sunucusuna entegre etmeye başladı. Request filtering bir güvenlik servisi ve kurulduğunda IIS'e dosya uzantısına,URL'e,HTTP request metoduna, içerik uzunluğuna,URL uzunluğuna,query string uzunluğuna göre filtreleme, double-escaping önleme gibi yetenekler kazandırır. Bu özellikleri kullanarak web sunucunuza yapılan bir çok saldırıyı engelleyebilirsiniz. Request Filtering IIS rolüne ait bir servis.

Ve kurulduktan sonra IIS Manager arayüzünden konfigüre edilebileceği gibi 

Bilgisayar Olaylarına Müdahale - Masal

Daha akılda kalıcı olması bakımından "etkin müdahale yöntemi" başlıklı yazıdan sonra yazmak istediğim masal bugüne kısmet oldu.

Bir varmış bir yokmuş, çok uzak ülkelerin birinde "ben CISO'yum ben CISO'yum,bir cümlede 10 kez EsEsElVipiEn kelimesini kullanabilirim,Entielem otantıkeyşın demeyi de çok severim" deyip duran BT güvenlik yöneticisi ve 2 ayda bir her geleni kaçırmasına rağmen bu güvenlik yöneticisini seven kollayan,öpüp okşayan, "ne yapıyorsun personele,neden her işe başlayan 2 ay sonra arkasına dönüp bakmadan kaçıyor" diye soramayan ya da sormaya kıyamayan CIO'su ve yüzbinlerce müşterisi olan bir banka varmış. Bilgi ve BT güvenliği konusu banka üst yönetimince yeterince ciddiye alınan bir konuymuş ve CISO yanlış yatırımlarla yüzbinlerce dolarlık cihaz alıp kullanmasa da yapılan harcamalar için yönetim yine de kesenin ağzını açık tutarmış. Gel zaman git zaman derken, bir gün bankanın şubelerinden birinin müdürü "Sanırım benim internet şube hesabım ele geçirilmiş, internet şube'ye girdiğimde hatalı giriş denemeleri olduğunu görüyorum,yoksa şubede virüs mü var?" diye soracak olmuş. Haber çabuk yayılmış ve CIO'nun kulağına kadar gitmiş, CIO "tiz araştırıla" diyerek talimat vermiş. İngilizce kısaltmaları okumaktan öte güvenlik bilgisi bulunmayan CISO anlamadan dinlemeden,düşünmeden taşınmadan göndermiş "fedailerinden" birini şubeye,şube'de güvenlik taraması yapsın, şube müdürünün gazını alsın diye. Fedai şubede 2 gün incelemede bulunmuş,aramış taramış trafiği dinlemiş,şüpheli bir olayla karılaşmadan dönmüş bankaya. Daha sonra anlaşılmış ki şube müdürünün kullanıcı adıyla benzerlik taşıyan bir müşteri kullanıcı adını yanlış yazarak şubeye giriş yapmaya çalışmış. Fedainin boşu boşuna 2 gün şubede zaman kaybetmesine, harcanan iş gücüne aldırmadan, bilgisayar olayına nasıl müdahale edilmesi gerektiğinden bir haber, CIO ve CISO neşe içinde yaşamaya ve bankanın adını güvenlik sektöründe karalamaya devam etmişler.

(Masalda bahsi geçen olay ve kişilerin gerçekle ilişkisi yoktur, ama olabilir de)





İlgili Yazılarım
Bilgisayar Olaylarına Müdahale - Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği
Bilgisayar Olaylarına Müdahale - Etkin Müdahale Yöntemi
Bilgisayar Olaylarına Müdahale - Müdahale Ekibi

BT Güvenlik Operasyon Merkezi ( IT Security Operations Center - SOC ) - Nass oluyor da oluyor?

IIS 7.5 Konfigürasyon Denetim Kaydı Özelliğini Etkin Hale Getirme

Yönetici hakkına sahip birden fazla kullanıcının kontrolündeki sunucularda,özellikle IIS web sunucularında kontrolsüz yapılan değişiklikler sistem yöneticilerinin kabusudur.Kayıtsız,habersiz yapılan değişikliğin sebep olduğu hatayı ya da olumsuzluğu gidermek için saatler belki günler harcanır.Değişikliğin üzerinden birkaç gün geçtiyse hele, değişikliği yapan da unuttuysa yapılan değişikliği tadından yenmez.Samanlıkta iğne aramaya benzer çoğu zaman hatanın ya da sorunun kaynağını tespit etmek.Microsoft nihayet IIS 7.5 ve 2008 R2 ile birlikte işletim sistemine IIS konfigürasyonu denetim özelliği getirmiş.Bu özellik sayesinde operasyon ekipleri ile denetim ve kontrol mekanizmaları arasında "bunun denetim kaydı var mı?kimin ne zaman ne değişiklik yaptığını görebiliyor muyuz?" şeklinde süregelen diyaloglarında süresi kısalmış olacak. IIS konfigürasyonunda yapılan değişikliklerin kayıt altına alınması için "Server Manager" yönetim arayüzünün Event Viewer->Application and Service Logs->Microsoft->Windows->IIS-Configuration ağaç menüsü altında,aşağıdaki ekran görüntüsünde gösterildiği gibi etkin hale getirmek gerekir (Enable Log).

Bilgisayar Olaylarına Müdahale - Müdahale Ekibi

Bilgisayar olaylarına müdahalenin gerekliliğinden yazının ilk bölümünde bahsettik,sanırım herkesin kafasına yattı ve herkes olayları belirli metodlarla ele almanın gereğini kavradı.Sıra geldi müdahale mimarisinin olmazsa olmazı; Bilgisayar Olaylarına Müdahale Ekibi. CERT (Computer Emergency Response Team), CIRT ( Computer Incident Response Team), CSIRT (Computer Security Incident Response Team) gibi kısaltmalarla anılırlar, ülke genelindeki bilgisayar olaylarına müdahale için kurulabileceği gibi, kuruma özel müdahale ekipleri de oluşturulabilir (XBANK-CERT gibi). Türkiye'deki UEKAE bünyesinde faaliyet gösteren oluşumun adı TR-BOME (Bilgisayar Olaylarına Müdahale Ekibi) olacak şekilde biraz türkçeleştirilmiş. BOME'nin ne kadar faal olduğu hakkında pek bilgi sahibi olamadım, internet yoluyla erişilebilen en son faaliyet raporu 2007-2008 verilerinden hazırlanmış.
Müdahale ekipleri,kurumların mümkün olduğunca az personel istihdam etme, güvenlik gibi elle tutulmayan gözle görülmeyen konular için mümkün olan en az harcamayı yapma gibi politikalarından dolayı oluşturulması en zor organizasyon yapılarından. Yönetimin gözünde itfaiye neyse, müdahale ekibi de o ne yazık ki. Kırk yılda bir ciddi bir olay çıkacak da ekip müdahale edecek, geri kalan 39 yıl boyunca da yönetim bu ekip için yatırım ve masraf yapacak. Bu yazıda anlatılanlar çoğu kurum ve firma için hayal dünyasından ibaret olacak.
Küçük ya da büyük her müdahale ekibinin sahip olması gereken özellikler var, bu özellikleri isterseniz insani v e teknik özellikler başlıkları altında da toplayabilirsiniz;