Resim 1. Güvenlik çözümü ( FW / IPS ) hedef sunucu imiş gibi istemciden gelen iletişim isteklerini karşılar. İletişim isteği spoofed yani sahte bir kaynaktan gelmiyorsa şayet ve güvenlik çözümü istemciyle 3 yollu el sıkışmayı (3-way-handshake) tamamlayabildiyse bu isteği bu defa istemci imiş gibi sunucuya iletir, bir başka deyişle 3-way-handshake i tekrar eder (replay). Daha sonra istemci ve sunucu arasındaki veri iletişmi, kurulan bu bağlantı üzerinden devam eder.İstek spoofed Ip adresinden geliyorsa güvenlik çözümünün SYN-ACK bayraklı paketi ACK bayraklı paketle cevaplanmayacaktır,dolayısıyla istek sunucuya iletilmeyecektir. Sunucu da olan bitenden habersiz mutlu mesut çalışmaya devam eder.
30 Ağustos 2012 Perşembe
Syn Proxy'nin bilinmeyenleri - Nass oluyor da oluyor?
22 Ağustos 2012 Çarşamba
Windows 2008 ve Syn Flood saldırıları - Nass oluyor da oluyor?
Türkçe
DDOS saldırılarını önleyebildiğini iddia eden firmalardan Prolexic'in 2012 ikinci çeyrek raporuna baktığımızda infrastructure denen OSI modelinin 3. ve 4. seviyelerini hedef alan SYN saldırılarının popülaritesini koruduğunu görüyoruz.
Bloğun teması az bilinenden bahsetmek olduğu için SYN saldırısı hangi prensiplere dayanır, nasıl gerçekleştirilir gibi kolayca ulaşabileceğiniz bilgilere pek fazla girmeyeceğim. Bu yazının konusu Windows 2008 ( Aslına bakarsanız Windows Vista'dan itibaren Windows 7, Windows 2008, Windows 2008 R2 ) işletim sistemlerinde SYN ( flood ya da attack ) saldırısına karşı savunma mekanizmasının nasıl işlediği.
21 Ağustos 2012 Salı
Hping ile Syn saldırısı yapmak veya yapamamak
Türkçe
Saldırı araçlarını kullanmayı pek sevmem ama Windows 2008'in Syn Flood ( ya da Syn Attack ) saldırısına ne derece dayanıklı olduğunu test etmek için bu aracı kullanmayı uygun buldum. Port tarama, firewall kurallarının testi gibi farklı amaçlar için de kullanılabilen aracın an itibariyle en güncel 3. versiyonu bulunuyor -ki Backtrack 5 ile birlikte gelen versiyon da bu.Yazının konusu Syn saldırısının temelleri,saldırı nasıl yapılır nasıl engellenir değil.Bu yazıda syn saldırısı yapmaya niyetli dimağlar için hpingin nasıl kullanılacağından ziyade nasıl kullanılmaması gerektiğinden bahsedeceğim.Google ve benzeri arama motorlarında hping'in Syn saldırısı için kullanımıyla ilgili kaynak aradığınızda hep benzer tek satırlık komutları görürsünüz.
hping3 -p <hedef_port_numaras> -S <hedef_ip_adresi> |
8 Ağustos 2012 Çarşamba
PCI DSS - Nass oluyor da oluyor? A'dan Z'ye PCI-DSS
Bu konuyu tek blog yazısında ele alacağım,bu yüzden uzuun bir yazı olacak (tamamlanması da uzun sürebilir,fırsat buldukça yazabiliyorum) ama yazının sonuna gelip de başınızı kaldırdığınızda PCI DSS nedir,ne değildir,kimi bağlar,uyumlu olmak için yapılması gerekenler nelerdir gibi sorularınızın yanıt bulduğunu göreceksiniz.
PCI (Payment Card Industry) aslında Ödeme Kartları Endüstrisi demek ama bu terim genellikle PCI Security Standards Council (PCI SSC) denen ve sektördeki 5 dünya devinin (Visa, MasterCard, American Express, Discover,JCB) üyeliğiyle - "yaw kart sahtekarlıkları aldı başını gidiyor,önüne gelen kredi kartıyla ödeme kabul ediyor sonra canımız ciğerimiz müşterilerimizin bilgileri çalınıyor kartları kopyalanıyor.Böyle giderse kimse kart kullanmaz, müşterilerimizden ve paracıklarımızdan oluruz" gibi kaygılarla - 2006 yılında oluşturulmuş konseyi ifade ediyor.
7 Ağustos 2012 Salı
IIS 7 - 7.5 Request Filtering - Nass oluyor da oluyor ? Rules & Headers
IIS 7 ve 7.5 ile birlikte gelen (rol servisi olarak yüklerseniz tabi) Request Filtering güvenlik özelliği ile yapılabileceklere devam edelim.
"Rules" sekmesi web sunucunuza gönderilen HTTP isteklerinde URL,Header,Query string gibi metinlerde kelime bazlı filtreleme yapmaya imkan verir. Örnek olması bakımından "User-Agent" Header değeri "Attack" ( piyasada kolaylıkla bulunabilecek acunetix gibi güvenlik tarayıcıları varsayılan olarak User-Agent header'ına belli değerler atarlar,benzer şekilde http saldırı araçları da öyle, bu tip basit saldırıları bu özelliği kullanarak engelleyebilirsiniz) ise web sunucumuzun erişilmek istenen sayfayı engellemesi için kullanılacak kural ekran görüntüsündeki gibi olmalı;
Kural tanımında "Scan URL","Scan Query String" işaretlenmediği için request-filtering modülü URL ve Query Stringi taramayacak.Benzer şekilde "Applies To" hanesinde "html,htm,asp,aspx" gibi dosya uzantısı da belirtmediğimiz için kural tüm dosya uzantılarına erişim isteklerine etki edecek.
"Header" hanesinde kontrol edilmesini istediğimiz header değerini yani "User-Agent" satırını ekledikten sonra, bu header değerinde reddedilecek kelimeyi "Deny Strings" alanında satır olarak ekliyoruz. Özetle kural, kendisine gelen isteklerin Header değerlerini kontrol edecek, "User-Agent: Attack" header'ı ile gelen istekleri reddedecek yani isteği 404 kodu ile cevaplayacak, daha kesin konuşmak gerekirse bu istek ve akabinde gönderilen cevap kayıt dosyasına 404.19 koduyla kaydedilecek. Daha önceki yazıdan hatırlarsanız 404.19 "Denied by filtering rule" anlamına geliyor.
6 Ağustos 2012 Pazartesi
IIS 7 - 7.5 Request Filtering - Nass oluyor da oluyor ? File Name Extension & HTTP Verb filtreleme
URLScan eklentisini bilirsiniz, IIS 6 ve öncesi versiyonlarda bir eklenti olarak kurulur kullanılırdı. Microsoft IIS 7 ile birlikte bu fonksiyonu "Request Filtering" rol servisi ile web sunucusuna entegre etmeye başladı. Request filtering bir güvenlik servisi ve kurulduğunda IIS'e dosya uzantısına,URL'e,HTTP request metoduna, içerik uzunluğuna,URL uzunluğuna,query string uzunluğuna göre filtreleme, double-escaping önleme gibi yetenekler kazandırır. Bu özellikleri kullanarak web sunucunuza yapılan bir çok saldırıyı engelleyebilirsiniz. Request Filtering IIS rolüne ait bir servis.
Ve kurulduktan sonra IIS Manager arayüzünden konfigüre edilebileceği gibi
5 Ağustos 2012 Pazar
Bilgisayar Olaylarına Müdahale - Masal
Daha akılda kalıcı olması bakımından "etkin müdahale yöntemi" başlıklı yazıdan sonra yazmak istediğim masal bugüne kısmet oldu.
Bir varmış bir yokmuş, çok uzak ülkelerin birinde "ben CISO'yum ben CISO'yum,bir cümlede 10 kez EsEsElVipiEn kelimesini kullanabilirim,Entielem otantıkeyşın demeyi de çok severim" deyip duran BT güvenlik yöneticisi ve 2 ayda bir her geleni kaçırmasına rağmen bu güvenlik yöneticisini seven kollayan,öpüp okşayan, "ne yapıyorsun personele,neden her işe başlayan 2 ay sonra arkasına dönüp bakmadan kaçıyor" diye soramayan ya da sormaya kıyamayan CIO'su ve yüzbinlerce müşterisi olan bir banka varmış. Bilgi ve BT güvenliği konusu banka üst yönetimince yeterince ciddiye alınan bir konuymuş ve CISO yanlış yatırımlarla yüzbinlerce dolarlık cihaz alıp kullanmasa da yapılan harcamalar için yönetim yine de kesenin ağzını açık tutarmış. Gel zaman git zaman derken, bir gün bankanın şubelerinden birinin müdürü "Sanırım benim internet şube hesabım ele geçirilmiş, internet şube'ye girdiğimde hatalı giriş denemeleri olduğunu görüyorum,yoksa şubede virüs mü var?" diye soracak olmuş. Haber çabuk yayılmış ve CIO'nun kulağına kadar gitmiş, CIO "tiz araştırıla" diyerek talimat vermiş. İngilizce kısaltmaları okumaktan öte güvenlik bilgisi bulunmayan CISO anlamadan dinlemeden,düşünmeden taşınmadan göndermiş "fedailerinden" birini şubeye,şube'de güvenlik taraması yapsın, şube müdürünün gazını alsın diye. Fedai şubede 2 gün incelemede bulunmuş,aramış taramış trafiği dinlemiş,şüpheli bir olayla karılaşmadan dönmüş bankaya. Daha sonra anlaşılmış ki şube müdürünün kullanıcı adıyla benzerlik taşıyan bir müşteri kullanıcı adını yanlış yazarak şubeye giriş yapmaya çalışmış. Fedainin boşu boşuna 2 gün şubede zaman kaybetmesine, harcanan iş gücüne aldırmadan, bilgisayar olayına nasıl müdahale edilmesi gerektiğinden bir haber, CIO ve CISO neşe içinde yaşamaya ve bankanın adını güvenlik sektöründe karalamaya devam etmişler.
(Masalda bahsi geçen olay ve kişilerin gerçekle ilişkisi yoktur, ama olabilir de)
İlgili Yazılarım
Bilgisayar Olaylarına Müdahale - Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği
Bilgisayar Olaylarına Müdahale - Etkin Müdahale Yöntemi
Bilgisayar Olaylarına Müdahale - Müdahale Ekibi
BT Güvenlik Operasyon Merkezi ( IT Security Operations Center - SOC ) - Nass oluyor da oluyor?
(Masalda bahsi geçen olay ve kişilerin gerçekle ilişkisi yoktur, ama olabilir de)
İlgili Yazılarım
Bilgisayar Olaylarına Müdahale - Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği
Bilgisayar Olaylarına Müdahale - Etkin Müdahale Yöntemi
Bilgisayar Olaylarına Müdahale - Müdahale Ekibi
3 Ağustos 2012 Cuma
IIS 7.5 Konfigürasyon Denetim Kaydı Özelliğini Etkin Hale Getirme
2 Ağustos 2012 Perşembe
Bilgisayar Olaylarına Müdahale - Müdahale Ekibi
Müdahale ekipleri,kurumların mümkün olduğunca az personel istihdam etme, güvenlik gibi elle tutulmayan gözle görülmeyen konular için mümkün olan en az harcamayı yapma gibi politikalarından dolayı oluşturulması en zor organizasyon yapılarından. Yönetimin gözünde itfaiye neyse, müdahale ekibi de o ne yazık ki. Kırk yılda bir ciddi bir olay çıkacak da ekip müdahale edecek, geri kalan 39 yıl boyunca da yönetim bu ekip için yatırım ve masraf yapacak. Bu yazıda anlatılanlar çoğu kurum ve firma için hayal dünyasından ibaret olacak.
Küçük ya da büyük her müdahale ekibinin sahip olması gereken özellikler var, bu özellikleri isterseniz insani v e teknik özellikler başlıkları altında da toplayabilirsiniz;
Kaydol:
Kayıtlar (Atom)