~ Ali Kapucu | Network & System & Security Research Worker ~

Archive for 'Network Security'

IPS Tuning Best Practices Live Webcast

Posted on Mart 2, 2010, under Network Security.

NSS Labs, the world’s leading independent information security research and testing organization. recently put seven leading Network IPS vendors through a rigorous test that included 1,159 validated exploits. nsslabs_award_tested2

One of the findings from the test was that a “tuned” IPS blocks considerably more threats than an IPS configured with a default policy alone..

To learn more about the NSS Labs Network IPS test results and some of the industry best practices for IPS tuning, please join us on March 10th for a free and insightful live webcast.

Speakers: Rick Moy, President of NSS Labs &
Matt Watchinski, Sr. Director of Sourcefire’s Vulnerability Research Team™ (VRT)

Date: Wednesday, March 10th at 11:00 a.m. Eastern (EST)

Türkiye Saati ile 10 Mart 2010 Saat 18:00

Cisco IPS’lerine IP reputation özelliğini ekledi

Posted on Ağustos 12, 2009, under Network Security.

Merhabalar malum uzun süredir yazamıyorum Türkiye’deki son 1 haftama girmiş bulunmaktayım bu süre zarfında da fazla yazamayacam ancak, olaylara Fransız kalmamak için rss ve friendfeed üzerinden kendimi sürekli yeniliyorum. En geç 2 hafta içinde I’m Back diyeceğim

Başlık ile ilgili kısma gelincede başlıkta da görülebiliceği gibi Cisco IPS’lerine IP reputation özelliğini eklemiş. Peki Nedir bu IP Reputation?? Ip Reputation zararlı iş yapan iplerin tutulduğu büyük bir veritabanları listesi diyelim.. Hani Türk Telekom’un ip adresleri sürekli Spam listelerinde bundan dolayı ip ler Blacklistlere girip Bilgi İşlemcilerin Başını ağrıyor ya o listelerden işte Ip Reputation listelerini kontrol eden spam gatewayler gelen maillerde o ipler varsa işleme almadan direk engelliyor. Bunu Cisco Ipslerin yaptığını düşünürsek DDos yada başka tür bir saldırı yapan ipleri bu databaselerden alacak IPS doğası gereği gelen saldırıyı incelemeden direk Drop yapıcak buda büyük fayda..
Görüşmek Üzere

Cisco IPS'lerine IP reputation özelliğini ekledi

Posted on Ağustos 12, 2009, under Network Security.

Trafik dinleme, analiz ve değiştirme yazılımları

Posted on Mayıs 17, 2009, under Network Security, Security, System Security.

Ethereal : Ethereal, açık kaynak kodlu bir Trafik analiz programıdır. Gelişmiş grafik arabirimi sayesinde kullanımı oldukça kolaydır. Bunun yanında istenirse komut satırından da kullanılabilir. Komut satırından kullanım için ethereal komutu ve ek parametreleri kullanılabilir.

Windows, UNIX(BSD, Solaris, vb) ve Linux işletim sistemleri üzerinde GPL lisansı ile özgürce kullanılabilmektedir. Ethereal, açık kod dünyasının desteğini arkasına alarak kısa sürede piyasadaki ticari Trafik analiz programlarının işlevlerinin çoğunu yerine getirebilecek seviyeye ulaşmıştır.

Ethereal’in bazı önemli özellikleri:

• Yakalanan paketleri kaydedebilme , kaydedilen paketleri analiz edebilme

tcpdump , NAI’s Sniffer^TM , Sniffer^TM Pro , NetXray^TM, Sun snop ve atmsnoop, Shomiti/Finisar Surveyor vb gibi birçok paket analiz programları ile yakalanmış ve kaydedilmiş paketleri analiz edebilme
Paketleri tethereal yada bir gui aracılığı ile izleyebilme
3COMXNS, 3GPP2 A11, 802.11 MGT, 802.11 Radiotap, 802.3 Slow protocols, 9P, AAL1, AAL3/4, AARP, ACAP, ACN, ACSE, ACtrace, ADP, AFP, AFS (RX), AH, AIM, AIM Administration, AIM Advertisements, AIM BOS, AIM Buddylist, AIM Chat, AIM ChatNav, AIM Directory, AIM Email, AIM Generic, AIM ICQ, AIM Invitation, AIM Location, AIM Messaging, AIM OFT, AIM Popup, AIM SSI, AIM SST, AIM Signon, AIM Stats, AIM Translate vs .. 706 protokol desteği
Yakalanan paketler düz yazı yada PostScript olarak kaydedebilme
Filtreleme esnasında istenilen protokollerin istenilen renk de gösterilebilmesi

Ettercap : Ettercap çok özellikli bir trafik analiz ve trafik injection programıdır. Ettercap ile basit trafik dinleme işlemlerinden öte switch’li ağlarda birçok geçerli yöntem(apr spoofing, arp poisoning, mac address cloning) kullanarak trafik izleme , trafiğe yön verme işlemleri gerçeklenebilir. SSL bağlantılarında araya girerek sadece trafiği izlemekle yetinmeyip izlenilen trafiğin değiştirilmesini de sağlar(MITM). Ettecap kullanarak özellikle Layer2 üzerinde çalışan protokoller ve işleyiş yapıları iyice öğrenilebilir.

Desteklenen Platformlar:

Linux 2.4.x, Linux 2.6.x FreeBSD 4.x 5.x, OpenBSD 2.X 3.x, NetBSD 1.5 , Mac OS X (darwin 6.x 7.x), Windows 2000/XP/2003, Solaris 2.x Lisansı: GPL

Dsniff Dsniff Dug Song tarafından ağ güvenliği denetimi ve trafik dinleme amaçlı yazılmış bir programdır.

Dsniff’in oluşturan bazı programlar ve işlevleri ; Mailsnarf, urlsnarf, filesnarf, msgsnarf, webspy araçları ağ ortamında gezen zayıf parolaları ve çeşitli bilgileri okunabilir formatta sunmak için kullanılabilir. Mesela urlsnarf aracı kullanılarak akan trafik içerisinden 80, 3128 ve 8080 portlarını dinleyerek web trafiğine ait URL’leri Microsoft IIS ve Apache tarafından da kullanılan Common Log

Format (CLF) formatında kaydeder.

# urlsnarf -i xl0 urlsnarf: listening on xl0 [tcp port 80 or port 8080 or port 3128]

Bunların dışında kotu amaçlı ellerde oldukça tehlikeli olabilecek arpspoof, macof, dnsspoof gibi ileri düzey araçlara da sahiptir. Bu araçlarla sağlam korunmamış bir LAN içerisinde SSL, SSH, SSH ve DNS trafikleri yanıltılabilir.

Dsniff Windows işletim sistemi üzerinde de çalışır. http://www.datanerds.net/~mike/dsniff.html adresinden Dsniff’in Win32 sürümü edinilebilir. Cain Abel: Dsniff araçlar bütününü yaptığı herşeyi Windows ortamında GUI aracılığı ile yapabilme olanağı sağlar. http://naughty.monkey.org/~dugsong/dsniff/ adresinden Dsniff ile ilgili detay bilgi edinilebilir. http://www-128.ibm.com/developerworks/library/s-sniff.html

Snoop :Snoop solaris işletim sisteminde çalışan bir snifferdir. Snoop ile realtime trafik izleme yapılabileceği gibi trafiği snoop formatında kaydedip sonra inceleme amaçlı da kullanılabilir.

#Snoop -o dosya_ismi Kaydedilen dosya

#Snoop -i dosya_ismi ile incelenebilir.

Snoop ile mac adresine gore de trafik analizi yapılabilir.

#Snoop from 00:04:5b:f2:83:33 or to 02:06:5b:f2:87:41 Şeklinde bir komut ile belirli mac adresleri arasındaki trafigin yakalanması sağlanır.

Snoop üç modda çalışır, özet mod detay özet ve detay mod. Varsayılan mod özet moddur(summary) ve bu modda trafik 5,67 gibi üst katmanlar için yakalanır. -V ile çalıştırıldığında layer2Den layer 7′ye kadar özet bir şekilde sunar.

-v ile çalıştırıldığında yakalanan pakete ait tüm detaylar görülebilir.

!!Snoop herhangi bir özgür lisansa sahip değildir ve kaynak kodları açık değildir. Snoop’un Linux için çalışan versionları bulunmaktadır.

Ağ tabanlı Atak tespit ve engelleme yazılımları

Posted on Mayıs 14, 2009, under Network Security, Security.

Snort : Snort başlı başına bir olay olduğu için onu ileri ayrı olarak yazmak istiyorum..

SnortSam Snortsam Snort IDS sistemine IPS özelliği katan bir plugindir. Snortsam iki ana parçadan oluşur. Bu parçalardan biri Snort için output sistemidir, diğeri de Güvenlik duvarı üzerinde ajan vazifesi görecek parçadır. Snortsam kurulduktan sonra snort kurallarına “fwsam” anahtar kelimesi eklenir. Snortsam’in kullanımı bu anahtar kelimeyle yapılır. Snort üzerine yazılan kurallar snortsam ajanı aracılığı ile Firewall’a aktarılır ve engellenmesi gereken trafik Firewall tarafından yasaklanır.

Snortsam ile birlikte kullanılabilecek Güvenlik duvarı yazılımları: Checkpoint Firewall-1 , Cisco PIX firewalls , Cisco Routers, Juniper firewalls, IP Filter (ipf), FreeBSD ipfw2, OpenBSD Packet Filter (pf), Linux IPchains , IPtables , Ebtables, WatchGuard Firebox, 8signs firewalls for Windows MS ISA Server firewall/proxy for Windows, CHX packet filter, Ali Basel’s Tracker SNMP

Bütünlük doğrulayıcı yazılımları

Samhain

Unix sistemlerin temel felsefelerinden biri olan ‘herşey dosyadır’ yaklaşımı dikkate alınırsa UNIX sistemlerdeki dosya bütünlüğünün önemi anlaşılır. İşletim sisteminin temelini oluşturan dosyalarda yapılan bir değişikliğin zamanında farkedilmesi ilerde oluşabilecek birçok güvenlik problemini gidermiş olur. Mesela /etc/passwd dosyasında yapılacak basit bir değişiklik ile sistem üzerindeki normal bir kullanıcı root yetkilerine sahip olabilir. Eğer /etc/passwd dosyasını belirli aralıklarla bütünlük kontrolünden geçiren bir sisteminiz varsa bu dosyadaki değişikliklerden kısa sürede haberdar olabilirsiniz ve gerekeni yaparsınız.

Samhain, açık kaynak kodlu , multiplatform , merkezi bir yapıda çalışan bütünlük doğrulayıcı yazılımıdır. Istemci sunucu mimarisine uygun bir yapıda çalışır. Dosya bütünlüğü izlenmek istenen sistemlere ajan bir program kurularak o sistemin kontrolu ajan programa bırakılır. Ajan program merkezi loglama sunucusuna belirli zamanlarda şifreli TCP bağlantısı kurarak gerekli güncellemeleri, kuralları alabilir. Samhain , Beltane programı ile web arabiriminden kolayca yönetilebilir.

Samhain’e ait bazı önemli özellikler: İstenilen zaman aralığında sistem taraması gerçekleştirebilir.

Linux ve FreeBSD sistemlerinde çekirdek için rootkit taraması yapabilir. Sisteme yeni eklenen SUID/SGID bitli dosyaları kontrol edebilir. Istenildiği takdirde yeni eklenen dosyaları karantineye alabilir ya da silebilir Sisteme giriş çıkışları loglayabilir

Samhain aşağıdaki işletim sistemlerini desteklemektedir.

POSIX (e.g. Linux, *BSD, Solaris 2.x, AIX 5.x, AIX 4.x, HP-UX 10.20, HP-UX 11, Unixware 7.1.0, Alpha/True64, and Mac OS X)
Windows 2000 / WindowsXP POSIX emulasyonu ile (e.g. Cygwin)

Samhain ile ilgili detay bilgi http://la-samhna.de/samhain/ adresinden edinilebilir.

Ağ tabanlı Atak tespit ve engelleme yazılımları

Posted on Mayıs 14, 2009, under Network Security, Security.

Snort : Snort başlı başına bir olay olduğu için onu ileri ayrı olarak yazmak istiyorum..

Bütünlük doğrulayıcı yazılımları

Samhain

Samhain’e ait bazı önemli özellikler: İstenilen zaman aralığında sistem taraması gerçekleştirebilir.

Samhain aşağıdaki işletim sistemlerini desteklemektedir.

POSIX (e.g. Linux, *BSD, Solaris 2.x, AIX 5.x, AIX 4.x, HP-UX 10.20, HP-UX 11, Unixware 7.1.0, Alpha/True64, and Mac OS X)
Windows 2000 / WindowsXP POSIX emulasyonu ile (e.g. Cygwin)

Samhain ile ilgili detay bilgi http://la-samhna.de/samhain/ adresinden edinilebilir.

İçinizdeki Hacker Seminerinden Sonra.

Posted on Şubat 10, 2009, under Kişisel, Network Security, Security, Seminer, System Security.

Merhabalar;

22 OCAK 2009 da Lares Park Hotel’de Microsoft ve Cisco’nun desteğiyle düzenlenen “İçinizdeki Hacker” seminerininde Microsoft ve Cisconun özellikle Microsoft’un güvenlik alanında yapmış olduğu atılımlardan bahsedildi.
Bir önceki yazımda da bahsettiğim gibi Microsoft artık güvenliğe önem veriyor bu durumuda sektöründeki en başarılı şirketlerleri satın almasından ve onların ürünlerini kendi ürün ailesine entegre etmesinden görüyoruz. Bütün güvenlik ürünleri ForeFront olarak tek bir çatı altında topladı.
Bence Forefront adı aynı zamanda Microsoft’un Güvenliğe olan ve hep devam edecek bağlılığını yansıtmakta. Güvenlik sadece uçtan uca sağlanırsa anlamlı olabilir. Microsoft Forefront Ürün Ailesi de şu anda kullanıcı bilgisayarından sunucuya, sunucudan dış bağlantı noktasına kadar uçtan uca güvenliği sağlayacak altyapıda gözüküyor. Tabi gözükmesi bir yana bu ürünlerin “Microsoft” olduğunu da unutmamak gerekir.

Herneyse bu seminerde kullanılan sunumları yayınladılar. Linklerin korunması için kendi rapid hesabıma attım ve sizlerle paylaşayım dedim buyrun;

Windows-2008-Server-Security adlı sunum.

Forefront-Security-for-Exchange adlı sunum.

Cisco Security adlı sunum.

İçinizdeki Hacker adlı sunun.