14/05/11 Turkish Hacker Anti Fighters 1 · netstat 11/tcp ftp 21/tcp telnet 23/tcp route 520/udp shell 514/tcp finger 79/tcp. 14/05/11 Turkish Hacker Anti Fighters 23 Ağ protokol

14/05/11 Turkish Hacker Anti Fighters 1


TUHAF NEDİR?TUHAF NEDİR?

Turkish Hacker AntiFighters:Turkish Hacker AntiFighters:

•Süleyman Kondakçı’nın fikri.Süleyman Kondakçı’nın fikri.

•Bilişim ile iç içe olan kişi, kurum ve Bilişim ile iç içe olan kişi, kurum ve kuruluşların bilgi güvenliği açısından kuruluşların bilgi güvenliği açısından bilinçlenbilinçlendirmekdirmek. .

•Bilinçlendirme tek başına yeterli olmayabilir. Bilinçlendirme tek başına yeterli olmayabilir. Bu nedenle Bu nedenle gönüllü olarak güvenlikgönüllü olarak güvenlik tarama, tarama, çözüm ve önerileriçözüm ve önerileri sunmak sunmak..


BT Güvenlik BileşenleriBT Güvenlik Bileşenleri

Bütünlük

Gizlilik

Fiziksel

güvenlikErişimkontrolü

Servis yeteneği

Sorumluluk

İnkar etmeme

KullanıcıGüvenirliği

Yönetim ve işletim


Dağıtık Sistem GüvenliğiDağıtık Sistem Güvenliği- Merkezi sistemden çok farklıMerkezi sistemden çok farklı

- Merkezi sistemde güvenlik tek noktada - Merkezi sistemde güvenlik tek noktada odaklıodaklı

- Dağıtık sistem güvenliği geniş coğrafik- Dağıtık sistem güvenliği geniş coğrafik alan kapsamındaalan kapsamında

- Dağıtık sistemde güvenliği denetleyen - Dağıtık sistemde güvenliği denetleyen herhangi bir merkezi nokta yokherhangi bir merkezi nokta yok

- Güvenlik sistemi bütün coğrafik alana - Güvenlik sistemi bütün coğrafik alana dağıtılmalıdağıtılmalı

- Dağıtık sistem güvenliği pahalı ve daha - Dağıtık sistem güvenliği pahalı ve daha güvensizgüvensiz

- Her uç kendi kafasına ve kurallarına - Her uç kendi kafasına ve kurallarına göre iş yapar göre iş yapar


BT Güvenliği TehditleriBT Güvenliği Tehditleri

Kimlik GizlemeKimlik Gizleme Yetkisiz GirişYetkisiz Giriş Bilgi Açığa çıkarmakBilgi Açığa çıkarmak Değişiklikler, bozulmalarDeğişiklikler, bozulmalar Servislerin EngellenmesiServislerin Engellenmesi Servislerin ÇalınmasıServislerin Çalınması İnkar etmemeİnkar etmeme (denial of origin) (denial of origin) Zaman değişiklikleriZaman değişiklikleri


Saldırı TipleriSaldırı Tipleri

Packet Sniffing (Eavesdropping)Packet Sniffing (Eavesdropping) IP Address SpoofingIP Address Spoofing Port ScanningPort Scanning Denial-of-Service AttackDenial-of-Service Attack Application Layer AttackApplication Layer Attack

• Trojan HorseTrojan Horse• Java and ActiveX appletsJava and ActiveX applets• Virus and WormsVirus and Worms


Internet YolundanInternet Yolundan

Firewall’u araştırınFirewall’u araştırın::• BilinenBilinen zayıflıkları?zayıflıkları?• NelereNelere izin veriyorizin veriyor??• Nelere Nelere izin vermiyorizin vermiyor??

Routerı araştırınRouterı araştırın::• Bilinen Bilinen zayıflıkları?zayıflıkları?• Remote login Remote login iziniizini??• NNetwork etwork topotopoğrafyası ulaşılabilir miğrafyası ulaşılabilir mi??


Internet YoluylaInternet Yoluyla

Gelen istekleri başlatanGelen istekleri başlatan adres ne adres ne?? Firewall ünündeFirewall ününde bir sistem var mı bir sistem var mı?? Uzaktan bağlantıya izin veriyor iseUzaktan bağlantıya izin veriyor ise, , Hangi Hangi

doğrulama methodu doğrulama methodu varvar??• Simple passwords?Simple passwords?• one-time passwords?one-time passwords?• single sign-on?single sign-on?


Internet YoluylaInternet Yoluyla

SistemSistem zayıflıklarını araştırma zayıflıklarını araştırma::• Birçok firewall e-mail izni verdiğindenBirçok firewall e-mail izni verdiğinden, , sendmailsendmail açıklıkları varmıaçıklıkları varmı??

• Eğer ayrıcalıklı giriş yapılırsaEğer ayrıcalıklı giriş yapılırsa, TCP/IP sniffer , TCP/IP sniffer diğer sistemlerden bilgi almak için diğer sistemlerden bilgi almak için yüklenebilinir miyüklenebilinir mi??

IP-spoofingIP-spoofing HijackingHijacking


Omurga

NFS-server

ftpmail

WWW-server

Gateway

InternetExternal Firewall

Internal firewall


Sınır Korumaları & Sınır Korumaları & Firewall Firewall KategorileriKategorileri

1) 1) Packet FiltersPacket Filters 2) 2) Circuit Level FirewallsCircuit Level Firewalls 3) 3) Application Layer FirewallsApplication Layer Firewalls 4) 4) Dynamic Packet FiltersDynamic Packet Filters


Paket FPaket Fiilliittrelerireleriİzin Verdikleri ve Vermedikleriİzin Verdikleri ve Vermedikleri

IP katmanında Network Trafik AnaliziIP katmanında Network Trafik Analizi Her pakete belirli kurallar uygulanırHer pakete belirli kurallar uygulanır::

• Fiziksel network arabirimiFiziksel network arabirimi• Kaynak IP adresiKaynak IP adresi• Hedef IP adresiHedef IP adresi• Taşıyıcı katman tipiTaşıyıcı katman tipi (TCP,UDP, ICMP) (TCP,UDP, ICMP)• Taşıyıcı katman kaynak portuTaşıyıcı katman kaynak portu• Taşıyıcı katman hedef portuTaşıyıcı katman hedef portu


Circuit Level FirewallsCircuit Level Firewalls

Uygulanacak kontrol mekanizmaları:Uygulanacak kontrol mekanizmaları:• Paketin bağlantı isteyip istemediğiPaketin bağlantı isteyip istemediği• Paketin bağlantıya ait olup olmadığıPaketin bağlantıya ait olup olmadığı• Paketin gerçek circuite ait olup olmadığıPaketin gerçek circuite ait olup olmadığı

Paket kontrolü nasıl oluyorPaket kontrolü nasıl oluyor??• TCP TCP tanışmasını izleyen her bağlantı düzenini tanışmasını izleyen her bağlantı düzenini

sınamaksınamak• Gerçek circuit’ın tüm oturum durumlarını Gerçek circuit’ın tüm oturum durumlarını

içeren geçerli bağlantı tablosu tablosunu içeren geçerli bağlantı tablosu tablosunu yönetiryönetir


Application Application Layer FirewallsLayer Firewalls

Tüm bağlantıları ve ard arda gelen bilgileri Tüm bağlantıları ve ard arda gelen bilgileri incelerinceler

HTTP HTTP veyaveya FTP FTP proxy sunucu proxy sunucu Bağlantıdan önce paketler uygulama Bağlantıdan önce paketler uygulama

katmanında geçerli içerik analizinden katmanında geçerli içerik analizinden geçirilirgeçirilir• Kullanıcı ŞifrleriKullanıcı Şifrleri• İstenilen servisİstenilen servis


Dynamic Packet FiltersDynamic Packet Filters

Güvenlik kuralları tabanında anında Güvenlik kuralları tabanında anında değişime izin verir.değişime izin verir.

SınırlıSınırlı UDP UDP transfertransfer protokolünüprotokolünü veve ICMP ICMP protokolünü destekler.protokolünü destekler.

HerHer UDP paket UDP paketiniini gerçek bağlantı hakkıyla gerçek bağlantı hakkıyla sınırlar.sınırlar.

DNSDNS gibi uygulama katman protokollerine gibi uygulama katman protokollerine izin verir.izin verir.


Güvenlik PolitikasıGüvenlik Politikası

Politika zorunluPolitika zorunlu olmalıdır olmalıdır Politika Politika saptanmamışsasaptanmamışsa güvenlik güvenlik olanaksızolanaksız Güvenlik politikası nedir?Güvenlik politikası nedir?

• Ortak kurallar kümesiOrtak kurallar kümesi• Yüksek seviyede yönergeleri içerir ve bunlarla ortak Yüksek seviyede yönergeleri içerir ve bunlarla ortak

davranış davranış ve korunma ve korunma biçimi sağlarbiçimi sağlar• Güvenlik amaç ve hedeflerini belirlerGüvenlik amaç ve hedeflerini belirler• Etikleri tanımlar ve sorumluluk yüklerEtikleri tanımlar ve sorumluluk yükler• Prosüdürleri belirlerProsüdürleri belirler• Personele liderlerin ne düşündüklerini açıklarPersonele liderlerin ne düşündüklerini açıklar• Personelin neler yapmaları gerektiğini belirlerPersonelin neler yapmaları gerektiğini belirler


Güvenlik Güvenlik Politikası YaklaşımıPolitikası Yaklaşımı

Hangi kaynaklar korunmalı?Hangi kaynaklar korunmalı?• Kaynaklar ne derece önemliKaynaklar ne derece önemli

Kimlerden korunmalı?Kimlerden korunmalı?• Bunlar ne derece tehdit ediciBunlar ne derece tehdit edici

Nasıl korunmalı?Nasıl korunmalı? Güvenlik politikanı sürekli gözden geçirGüvenlik politikanı sürekli gözden geçir

• AAğda ve ğda ve kullanıcılardakikullanıcılardaki değişmelerin etkisini değişmelerin etkisini gözden geçirgözden geçir


Güvenlik Politikası PrensipleriGüvenlik Politikası Prensipleri

User Awareness (Bilinçli kullanıcı)User Awareness (Bilinçli kullanıcı)• Kullanıcılar güvenliğin önemli olduğunu anlamak Kullanıcılar güvenliğin önemli olduğunu anlamak

zorundadırzorundadır: : eğitimeğitim, , güvenlik onlar içingüvenlik onlar için Disaster Recovery Plan (Felaketten Disaster Recovery Plan (Felaketten

arınma Planı)arınma Planı)• Bir felaket olduğunda bundan kurtulabilmelisiniz.Bir felaket olduğunda bundan kurtulabilmelisiniz.

Security AdministrationSecurity Administration• Güvenlik çalışanlarına otoriteyi şart koşun.Güvenlik çalışanlarına otoriteyi şart koşun.


Başka Bir Bakışla Güvenlik PolitikasıBaşka Bir Bakışla Güvenlik Politikası


Bazı Bazı Ağ Kütük, Program Ve Ağ Kütük, Program Ve Daemon’larıDaemon’ları

/etc/hosts/etc/hosts::• Makina ad ve IP-adreslerini içerir.Makina ad ve IP-adreslerini içerir.

/etc/ifconfig/etc/ifconfig::• Ağ bağlantısını çalıştırmak ve Ağ bağlantısını çalıştırmak ve

konfigürlemek için kullanılan programdır.konfigürlemek için kullanılan programdır. /etc/inetd/etc/inetd::

• Ana ağ daemonu, ağı dinler ve ondan istenen Ana ağ daemonu, ağı dinler ve ondan istenen hizmetler için gereken programı sürer. hizmetler için gereken programı sürer. Hizmetler Hizmetler /etc/inetd.conf/etc/inetd.conf kütüğünde kütüğünde belirlenmiştir.belirlenmiştir.


Process socket-type protocol processing location daemon

/etc/inetd.conf/etc/inetd.confProcess socket-type protocol processing location daemon

dgramstream

UDPTCP

waitnowait

# cat /etc/inetd.conf

# Internet server configuration database

ftp stream tcp nowait /usr/etc/ftpd ftpd

telnet stream tcp nowait /etc/telnetd telnetd

login stream tcp nowait /etc/rlogind rlogind

finger stream tcp nowait /usr/etc/fingerd fingerd

talk dgram udp wait /etc/talkd talkd

time dgram udp wait /etc/miscd timed

dgramstream

UDPTCP

waitnowait


Hizmetler KütüğüHizmetler Kütüğü /etc/services/etc/services: : Ağ programlarının port Ağ programlarının port

numarasını ve adını içerirnumarasını ve adını içerir

# cat /etc/services# cat /etc/services# Network services, Internet style# Network services, Internet styleechoecho 7/tcp7/tcpnetstatnetstat 11/tcp11/tcpftpftp 21/tcp21/tcptelnettelnet 23/tcp23/tcprouteroute 520/udp520/udpshellshell 514/tcp514/tcpfingerfinger 79/tcp79/tcp


Ağ protokol KütüğüAğ protokol Kütüğü

/etc/protocols/etc/protocols::• protokol ad ve numaralarını içerirprotokol ad ve numaralarını içerir

# cat /etc/protocols# cat /etc/protocolsipip 00 IP # Internet ProtocolIP # Internet Protocolicmpicmp 11 ICMP # Internet Control Message Prot.ICMP # Internet Control Message Prot.ggpggp 33 GGP # Gateway-Gateway ProtocolGGP # Gateway-Gateway Protocoltcptcp 66 TCP # Transmission Control ProtocolTCP # Transmission Control Protocolpuppup 1212 PUP # PARC Universal Packet ProtocolPUP # PARC Universal Packet Protocoludpudp 1717 UDP # User Datagram ProtocolUDP # User Datagram Protocol


Ağ Sınama YazılımlarıAğ Sınama Yazılımları

IfconfigIfconfig: : Ağınızı başlatır,durdurur, ayakta Ağınızı başlatır,durdurur, ayakta olup olmadığını gösterir.olup olmadığını gösterir.

PingPing: Ağdaki herhangi bir sisteme erişilip : Ağdaki herhangi bir sisteme erişilip erişilmediğini saptar.erişilmediğini saptar.

NetstatNetstat: Ağ bağlantısı için istatistik verir:: Ağ bağlantısı için istatistik verir:• routing tablerouting table• IP packet iletişimiIP packet iletişimi• ağınız sağlıklımı?ağınız sağlıklımı?


Ağ Sınama Yazılımları Ağ Sınama Yazılımları

NslookupNslookup:: DNS-name service hakkında bilgi verir. DNS-name service hakkında bilgi verir. BIND hizmetlerine dahildir.BIND hizmetlerine dahildir.

DigDig:: nslookupnslookup gibi,daha basit, detaylı. gibi,daha basit, detaylı. ArpArp::

• IP ve Ethernet adresi çevirmeleri için bilgi sağlar. IP ve Ethernet adresi çevirmeleri için bilgi sağlar. • Çakışan IP-adreslerini saptar.Çakışan IP-adreslerini saptar.

Tcpdump:Tcpdump: trafik analizi için trafik analizi için TracerouteTraceroute:: Sisteminizden çıkan packetlerin Sisteminizden çıkan packetlerin

hangi rotada seyrettiğini saptar.hangi rotada seyrettiğini saptar. RipqueryRipquery:: Routing Information Protocol (RIP)’u Routing Information Protocol (RIP)’u

için bilgi sağlar.için bilgi sağlar.


Network Related Network Related Files/DirectoriesFiles/Directories

/etc/hosts Local host table/etc/services ARPA services/etc/hosts.equiv Watch out this, Security prone/etc/hosts.lpd Watch out this, Security prone/.rhosts Remote accessor, Security prone/etc/netm asks Subnetmask in dot notation/etc/networks A historical file/etc/netconfig Solaris net configuration/etc/inet/* Solaris configuration file/etc/init.d/rootuser Solaris network startup/etc/defaultdom ain Default domain name/etc/defaultrouter Default router name/etc/rc.bsdnet AIX BSD-style net setup/etc/rc.local AIX network startup for BSD fans


Network Related Network Related Files/DirectoriesFiles/Directories

/etc/rc.{net,tcpip,nfs} AIX network startup files/etc/inetd.conf Allows network daemons/etc/nssw itch.conf Name service lookup order/etc/resolv.conf Name resolver IP-address/etc/protocols What protocols should be available/etc/hostnam e.*[0-9]Multi-homed hosts/etc/ftpusers Nontrusted ftp users access denier/etc/dfs/dfstab Solaris resource distributor/etc/dfs/fstypes Solaris filesystem distribution table/etc/dfs/sharetab Solaris Exported resource table/etc/{exports,xtab} BSD Export and Exported resources/etc/fstab BSD filesystem table/etc/sendm ail.cf Sendmail config file/etc/init.d/* IRIX network startup files/etc/config/* IRIX network options/etc/chkconfig IRIX network configuration tool


SORULAR?

SORULAR?

Documents

14/05/11 Turkish Hacker Anti Fighters 1 · netstat 11/tcp ftp 21/tcp telnet 23/tcp route 520/udp shell 514/tcp finger 79/tcp. 14/05/11 Turkish Hacker Anti Fighters 23 Ağ protokol