Windows Sunucularda Gerçek Zamanlı SYN-Flood Tipi Saldırı Tespiti - Nass oluyor da oluyor?

Bu yazıda network ya da güvenlik ekibinden gereken ilgi ve alakayı bulamayan ve kendi göbeğini kendisi kesmek isteyen Windows sistem yöneticileri için özellikle SYN-Flood tipindeki saldırıları gerçek zamanlı nasıl tespit edebileceklerini anlatacağım.Daha önce ziyaret etmemiş olanlar için hatırlatayım, blogun düstur'u mümkün olduğunca "az bilineni anlatmak",bu nedenle Syn Flood nasıl bir saldırı tipidir,felsefesi nedir, hangi araçlarla yapılır gibi kolay erişilebilir bilgiler için bu linki tıklayabilirsiniz. :)

İlk paragrafta belirttiğim gibi saldırıyı gerçek zamanlı tespit etmek amacımız.Dolayısıyla

netstat -ano | find "SYN_RECEIVED"

gibi komutlar pek işinize yaramaz (bu komut ve türevlerine SYN saldırı tespit etme komutu diyenler bile var ),ağır bir saldırı anında komut satırını bile açmakta zorlanırsınız, netstat komut çıktısını almak dakikalar bile sürebilir.Bu nedenle başka bir yol izleyeceğiz, performans ölçütleri ( counters ).

Siber Güvenlik Kurulu Üzerine

Bir kulağınız BT güvenlik sektöründeki haberlerdeyse eğer, yakın zamanda Ulaştırma Denizcilik ve Haberleşme Bakanlığı başkanlığında "Siber Güvenlik Kurulu" isimli bir kurulun kuruluşundan da haberdarsınızdır. Uzun süredir yokluğu hissedilen ve dillendirilen böyle bir yapının bu sene içerisinde hayat bulmasında çeşitli hacktivist grupların özellikle kamu kurumları bilgi sistemleri üzerindeki başarılı sızma,ele geçirme,servis dışı bırakma saldırılarının etkisi olmuştur mutlaka. Eksiklik o derece hissediliyordu ki, haberin duyulmasıyla "oh be nihayet" sesleri yükseldi. Böyle bir yapının/otoritenin gerekliliği tartışılmaz ve kesindir ama "Çamurdan da olsa bir kurul olsun" düşüncesiyle resmi gazetede yayınlanan 2 sayfalık karar bile yeterli geldi sanıyorum birçoğuna.
İlişkili kararda insanı gülümseten ve "kurulun güvenlik belgesi verecek olması" gibi güldürürken düşündüren, aynı zamanda yerli güvenlik pazarını teşvik edici ve destekleyici maddeler var. Ulaştırma Denizcilik ve Haberleşme bakanımızın bulut bilişimle ilgili söylemlerinden sonra (bkz youtube) kurulun kamu kurumları bilgi sistemleri güvenliğine kazandıracağı değeri merakla bekliyorum.

IIS 7,7.5'de Maximum Query String değeri ve önemi - Nass oluyor da oluyor?

IIS 7 (Windows 2008) ve 7.5 (Windows 2008 R2) ile birlikte gelen "Request Filtering" isimli güzel bir ek özellik daha doğrusu Role Service var daha önceki yazıları takip edenler hatırlayacaktır. Windows 2008 ve 2008 R2 işletim sistemlerine IIS rolü kurmaya çalıştığınızda bu rol hizmeti de varsayılan olarak yüklenecekler listesine eklenir tabi siz özellikle kutucuktaki "tick" işaretini kaldırmazsanız.Bu rol hizmeti temel olarak daha önceki IIS versiyonlarına uygulanabilen URLScan aracındaki fonksiyonları ve daha fazlasını kullanılabilir hale getirir. Bu fonksiyonlardan biri de dinamik web sayfalarınıza gönderilen query stringleri sınırlama özelliğidir.
Request Filtering rol hizmetini yükleseniz de yüklemeseniz de IIS sunucunun loglarında "cs-uri-query" sütununda dinamik sayfalar için görebileceğiniz "Query String" uzunluğu 4096 karakterdir.Dinamik sayfalarınıza gelen query string uzunluğu 4096 karakterden uzunsa IIS "cs-uri-query" sütununa karşılık gelen alana Resim 1'de gösterildiği gibi  3 nokta ( "..." ) karakteri ekler.

Resim 1

Low Orbit Ion Cannon ( LOIC ) ve Http Redirection Yanılsaması - Nass oluyor da oluyor?

Türkçe

Başlığı okuyup da şaşırmayın/umutlanmayın, HTTP protokolünü hedef alan DoS-DDoS-Get Flood (ya da ne derseniz deyin) saldırılara kurum imkanlarıyla karşı koymada, kansere olduğumuz kadar aciz ve çaresiziz. Bana bir zamanlar çokça vakit geçirdiğim O-Game'i hatırlatan arayüzüyle Low Orbit Ion Cannon aracı da bu çaresizliği yüze vuran,Praetox firmasınca stres test aracı olarak tasarlanmış,açık kaynak kodlu ve C# ile geliştirilmiş,yurdum yeni yetme kımıllarınca uzaktan yakından alakası olmamasına rağmen Hacking aracı olarak algılanan bir uygulama.2010 yıllarında Anons tarafından Wikileaks'e rest çeken kredi kartı dağıtıcılarına yapılan saldırılarda kullanılmışlığı ve üne kavuşmuşluğu var.
Ekran görüntülerinden ( Resim 1) görülebileceği gibi araç UDP ve TCP portlarına flood tipi saldırı yapabiliyor ama bizi ilgilendiren HTTP portuna yapılan saldırının karakteristiği ve önlenip önlenemeyeceği. Araç hala geliştirme desteği bulduğu için bu yazıda anlatılanlar bundan x gün sonraki y sürümünde geçerli olmayabilir. Test ve inceleme için kullandığım versiyon 1.0.7.42. Test ortamı da aşağıdaki gibi;

Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler

Bir süredir anlatmaya değer ve az bilinir teknik bir konu bulamıyorum.Bu sebeple bu yazıda kurumlarda ağ,sistem ve altyapı güvenliği konusunda sıkça yapılan yanlışlardan ve yanlış inanışlardan bahsedeceğim.Parola uzunluğunun kısa olması,güncelleme yapılmaması,servislerin portların kapatılmaması gibi basit yanlışlardan ziyade mümkün olduğunca üzerinde çok durulmayan,unutulmuş ve kafa yorulmamış ama ciddi risk oluşturan yanlışlar ve yanlış inanışlar yazıda ele alınacak.Unuttuklarım,gözümden kaçanlar mutlaka olacaktır.Hatırladıkça bu yazıyı güncelleyeceğim, siz de eklemek istediklerinizi yorum olarak yazabilirsiniz zaman zaman bu blogu ziyaret ederek yeni hurafelerden ve yanlışlardan haberdar olabilirsiniz.

Yanlışlar

• Asla ve asla DMZ segmentini, iç ağ segmentiyle aynı domaine dahil etmeyin.Exchange sunucu gibi çeşitli Microsoft ürünleri nedeniyle sistem yöneticiniz bunu yapmaya yanaşmayabilir.Ama siz DMZ segmentinde ayrı bir domain kurulması, DMZ ile iç ağ domainleri arasındaki iletişimin sağlıklı yürümesi için sadece domain controller'lar arasında port açmanızın yeterli olacağı konusunda ikna edebilirsiniz.
• DMZ segmentinizdeki uygulamalarınızın kullandığı veritabanlarını iç ağınızda bulundurmayın,bu veritabanlarını da DMZ segmentinde konuşlandırın.
• DMZ segmenti ile iç ağınız arasındaki trafik için sadece gerekli portları açın.DMZ kurum dışından yapılan saldırılara ilk maruz kalınan yerdir.Bu nedenle bu segmentte ele geçirilen herhangi bir servis ya da sunucunun diğer ağ segmentlerine sınırsız erişimi olması,saldırganın iç ağda olması anlamına gelir.
• Backplane kapasitesi düşük cihazı ( güvenlik cihazı dahi olsa ), backplane kapasitesi yüksek cihazın önüne koymayın.Aksi halde darboğaz ( bottleneck ) oluşturur,kendinizi düşük kapasiteli cihazın kapasitesiyle sınırlandırmış olursunuz.
• Rulebase terimiyle ifade edilen, güvenlik duvarının kurallar tablosunu mümkün olduğunca kısa tutun.Gereksiz kurallar tanımlamayın, tek bir kuralda birleştirilebilecek kurallarınız varsa bu kuralları birleştirin,kural sayısını azaltın.Daha da önemlisi sık erişime izin veren kuralları ilk sıralara yerleştirin. Örneğin; DMZ'deki web sunucunuza firma dışından erişim için illa ki 80 portundan erişimin verildiği kuralınız vardır.İşte bu kuralı DMZ güvenlik duvarınızda mümkün olduğunca ilk sıralara yerleştirin.Engelleyen ya da izin veren olup olmadığı farketmez, en fazla hit alan kurallar ilk sıralara.Bu hem güvenlik duvarında yapacağınız denetimleri kolaylaştırır hem de güvenlik duvarının performansını artırır.