Upload
mehmet
View
231
Download
0
Embed Size (px)
Citation preview
8/14/2019 Ak Kod Gvenlik Klavuzu
1/21
Ak Kaynak Kodlu Gvenlik Projeleri
Ak kod dnyasnda uzun zamandr kullanlan, belli birkararlla ulam ve kendini ispatlam birok gvenlikyazlm vardr. Bunlar aadaki alt balklar altndaincelenebilir.
Gvenlik Duvar(Firewall) rnlerio OpenBSD PF(Packet Filter)o IPF(IP filter)o Iptables
Ebtables(http://ebtables.sourceforge.net/) L7-filter (http://l7-filter.sourceforge.net/)
A tabanl Atak tespit ve engelleme yazlmlaro Snort***o Snortsam
Btnlk dorulayc yazlmlaro Samhain
Trafik dinleme, analiz ve manipulation Yazlmlaro Etherealo Ettercapo Dsniffo Snoop / solaris
ifreleme/ VPN Aralaro OpenSSLo SSH(OpenSSH)o Stunnelo OpenVPNo PopTop
A tarama sistemlerio Nmapo Hping
Gvenlik Test aralaro John The rippero Nessus
8/14/2019 Ak Kod Gvenlik Klavuzu
2/21
Antivirs ve Rootkit Aralaro Clam Antivirso Rootkit hunter
erik Filtreleme Aralaro Squid***o Dansguardian
Sunucu izleme aralaro Nagios
Firewall Aralar
Gnmz internet kullanmnn getirdii riskler sonucundabasit ya da karmak ne ekilde bir a olursa olsun birfirewall aracl ile korunmas gerekir. Ak kod dnyas dabu problemi en iyi ekilde kapatacak zmler gelitirmitir.Bu projelerden en ok bilineni, kullanlan ve geliime akolanlar aadaki gibidir.
Iptables
Iptables linux 2.4.X ve 2.6.X kerneli ile birlikte datlanNetfilter APIsinin kullanm iin yazlm bir arabirimdir.Rusty russel tarafndan balatlm ve uanki projeyneticisi Harald Weltedir. Iptablesin baz nemlizellikleri aadaki gibi listelenebilir;
Durum Korumasz (stateless) packet filtreleme (IPv4 veIPv6)
Durum Korumal (stateful packet) filtering (IPv4) Tm a adres evirim(Network Address Translation)
eitlerini destekler(NAT/NAPT) Esnek ve gelitirtirilebilir yap Sonradan eklenebilen modl destei
o Patch-o-maticIptables ile neler yaplabilir?
o Durum korumal ate duvar kurallar yazarak anzhedefleyen tehlikelerden korunabilirsiniz.
o aa tek bir Ip adresi zerinden veya bir grup IPadresi zerinden internet eriimini
paylatrlabilir.
8/14/2019 Ak Kod Gvenlik Klavuzu
3/21
o Tc ve iproute2 ile birlikte kullanlarak eitli QOSve policy routing tanmlar yaplabilir.
o eitli paket mangle ilemleri yaplabilir.o Iptables komut satrndan ynetilebilen bir ara
olmasnn yannda sourceforge.net veFreshmeat.Netden bulunabilecek onlarca Webarabirimi ile de ynetilebilir.
Patch-o-matic(`p-o-m`) nedir?
Patch-o-matic bir sonraki kacak olan netfilter srmneeklenebilecek zelliklerin gelitirildii ve test edildii birortamdr. Netfiltera eklenmesi istenen zellikler nceliklepatch-o-matic ortamna aktarlr burada eitli gelitiricilertarafndan eklemeler yaplr, varsa eksiklikleri giderilir.
Bu kodlar gerekli kararlla ulanca netfilter kodunaeklenir. Patch-o-matic kullanmak isteyen kullanclarnistedii eklenti iin krlm yamay indirerek ekirdeinibu yama ile yamadktan sonra tekrar derlemelidir. Derlemesonrasnda iptables aracl ile bu ek zelliklerkullanlabilecektir .
Ebtables
Ebtables Nedir?
2.6 Serisi ekirdekler iin 2. katmanda ileri dzey filtrelemeilemleri yapabilen bir yazlmdr. 2.4 ekirdek srmleri ilede ek bir yama ile kullanlabilir.
zellikleri
Ethernet protokol filtreleme(Ethernet Frame filtering) Mac adresine gre filtreleme(iptables ile de
yapilabiliyor.) MAC adresine gre NAT tanmlama zellii Detayl Loglama
L7-Filter
Linux 2.4 ve 2.6.X ekirdeklerinde bulunan netfilteraltsistemi iin uygulama seviyesinde trafik snflandrmaaracdr. Diger trafik snflandrma aralarndan farklolarak uygulama baznda trafigi anlayarak ilem yapar.
8/14/2019 Ak Kod Gvenlik Klavuzu
4/21
L7-Filter uygulama katman verisini inceleyerek kendisinebelirli olan bir dosya ile karlatrarak hangi protokololduuna karar verir.
/etc/l7-protocols dosyasnda protokollere ait sz dizimleri
yer alr. L7-Filter bu dosyay kullanarak snflandrma yapar.L7-filter gelen ilk 8 pakete(~2kb) bakarak ilem yapar, fakatbu deer deitirilebilir.
Kaynaklar:
[1] http://www.netfilter.org[2] http://www.linuxguruz.com/iptables/[3] http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO.html[4] http://l7-filter.sourceforge.net
IPF(Ip Filter)
FreeBSD zerinde kullanlan kaliteli bir Firewall projesidir.OpenBSD PFin kmas ile populerliini yitirmitir. OpenBSDPFin ilham ald Firewall projesi denilebilir.
PF(Packet Filter)
OpenBSD PF
OpenBSD projesi bnyesinde balatlm ve dier BSDlere portedilmi UNIX dnyasnn gelmi gemi en iyi, en kolay ve enesnek zelliklere sahip olduu sylenebilecek ak kodlugvenlik duvar(Firewall) yazlmdr.
PFe ait baz nemli zellikler;
Detayl , anlalr dkmantasyon. PFe ait her zelliinanlatld FAQ ve man sayfalar. BSD Lisans ile zgrce kullanm ve datm hakk. Her trl NAT ilemi(Nat, port redirection, binat)
gerekletirelbilme.
Bant genilii(Banwidth) ynetimi. stn performans. leri dzey paket filtreleme yetenei. Kural yazm iin basit sz dizimi. Layer 2 dzeyinde alarak kolayca a yapsna uyum
salar
8/14/2019 Ak Kod Gvenlik Klavuzu
5/21
leri dzey Yk paylam ve yksek bulunurluk(HA)destei
PF Kullanm
PF kullanm ile ilgili belgeler iin aadaki linklerkullanlabilir;
http://www.enderunix.org/docs/pf.pdfhttp://www.enderunix.org/docs/pf_tr.pdf
A tabanl Atak tespit ve engelleme yazlmlar
Snort
Eklenecek***
SnortSam
Snortsam Snort IDS sistemine IPS zellii katan birplugindir. Snortsam iki ana paradan oluur. Bu paralardanbiri Snort iin output sistemidir, dieri de Gvenlik duvar
zerinde ajan vazifesi grecek paradr. Snortsam kurulduktansonra snort kurallarna fwsam anahtar kelimesi eklenir.Snortsamin kullanm bu anahtar kelimeyle yaplr. Snortzerine yazlan kurallar snortsam ajan aracl ileFirewalla aktarlr ve engellenmesi gereken trafik Firewalltarafndan yasaklanr.
Snortsam ile birlikte kullanlabilecek Gvenlik duvaryazlmlar:
Checkpoint Firewall-1 , Cisco PIX firewalls , Cisco Routers,Juniper firewalls, IP Filter (ipf), FreeBSD ipfw2, OpenBSD
Packet Filter (pf), Linux IPchains , IPtables , Ebtables,
WatchGuard Firebox, 8signs firewalls for Windows
MS ISA Server firewall/proxy for Windows, CHX packet filter,
Ali Basel's Tracker SNMP
Btnlk dorulayc yazlmlar
Samhain
8/14/2019 Ak Kod Gvenlik Klavuzu
6/21
Unix sistemlerin temel felsefelerinden biri olan `hereydosyadr` yaklam dikkate alnrsa UNIX sistemlerdeki dosyabtnlnn nemi anlalr. letim sisteminin temelinioluturan dosyalarda yaplan bir deiikliin zamannda
farkedilmesi ilerde oluabilecek birok gvenlik probleminigidermi olur. Mesela /etc/passwd dosyasnda yaplacak basitbir deiiklik ile sistem zerindeki normal bir kullanc rootyetkilerine sahip olabilir. Eer /etc/passwd dosyasn belirliaralklarla btnlk kontrolnden geiren bir sisteminiz varsabu dosyadaki deiikliklerden ksa srede haberdarolabilirsiniz ve gerekeni yaparsnz.
Samhain, ak kaynak kodlu , multiplatform , merkezi biryapda alan btnlk dorulayc yazlmdr. Istemci
sunucu mimarisine uygun bir yapda alr. Dosya btnlizlenmek istenen sistemlere ajan bir program kurularak osistemin kontrolu ajan programa braklr. Ajan programmerkezi loglama sunucusuna belirli zamanlarda ifreli TCPbalants kurarak gerekli gncellemeleri, kurallaralabilir.
Samhain , Beltane program ile web arabiriminden kolaycaynetilebilir.
Samhaine ait baz nemli zellikler:
stenilen zaman aralnda sistem taramasgerekletirebilir. Linux ve FreeBSD sistemlerinde ekirdek iin rootkit
taramas yapabilir.
Sisteme yeni eklenen SUID/SGID bitli dosyalar kontroledebilir. Istenildii takdirde yeni eklenen dosyalarkarantineye alabilir ya da silebilir
Sisteme giri klar loglayabilir
Samhain aadaki iletim sistemlerini desteklemektedir.
POSIX (e.g. Linux, *BSD, Solaris 2.x, AIX 5.x, AIX 4.x,HP-UX 10.20, HP-UX 11, Unixware 7.1.0, Alpha/True64, andMac OS X)
Windows 2000 / WindowsXP POSIX emulasyonu ile (e.g.Cygwin)
Samhain ile ilgili detay bilgi http://la-samhna.de/samhain/adresinden edinilebilir.
8/14/2019 Ak Kod Gvenlik Klavuzu
7/21
Trafik dinleme, analiz ve deitirme yazlmlar
Ethereal
Ethereal, ak kaynak kodlu bir Trafik analiz programdr.
Gelimi grafik arabirimi sayesinde kullanm oldukakolaydr. Bunun yannda istenirse komut satrndan dakullanlabilir. Komut satrndan kullanm iin tetherealkomutu ve ek parametreleri kullanlabilir.
Windows, UNIX(BSD, Solaris, vb) ve Linux iletim sistemlerizerinde GPL lisans ile zgrce kullanlabilmektedir.
Ethereal, ak kod dnyasnn desteini arkasna alarak ksasrede piyasadaki ticari Trafik analiz programlarnnilevlerinin ounu yerine getirebilecek seviyeye ulamtr.
Etherealin baz nemli zellikleri:
Yakalanan paketleri kaydedebilme , kaydedilen paketlerianaliz edebilme
tcpdump , NAI's Sniffer , Sniffer Pro , NetXray, Sunsnop ve atmsnoop, Shomiti/Finisar Surveyor vb gibi birokpaket analiz programlar ile yakalanm ve kaydedilmipaketleri analiz edebilme
Paketleri tethereal yada bir gui aracl ileizleyebilme
3COMXNS, 3GPP2 A11, 802.11 MGT, 802.11 Radiotap, 802.3Slow protocols, 9P, AAL1, AAL3/4, AARP, ACAP, ACN, ACSE,ACtrace, ADP, AFP, AFS (RX), AH, AIM, AIM Administration,AIM Advertisements, AIM BOS, AIM Buddylist, AIM Chat, AIMChatNav, AIM Directory, AIM Email, AIM Generic, AIM ICQ,AIM Invitation, AIM Location, AIM Messaging, AIM OFT, AIMPopup, AIM SSI, AIM SST, AIM Signon, AIM Stats, AIMTranslate vs .. 706 protokol destei
Yakalanan paketler dz yaz yada PostScript olarakkaydedebilme
Filtreleme esnasnda istenilen protokollerin istenilenrenkde gsterilebilmesi
Ettercap
Ettercap ok zellikli bir trafik analiz ve trafik injectionprogramdr. Ettercap ile basit trafik dinleme ilemlerindente switchli alarda birok geerli yntem(apr spoofing, arppoisoning, mac address cloning) kullanarak trafik izleme ,
trafie yn verme ilemleri gereklenebilir. SSLbalantlarnda araya girerek sadece trafii izlemekle
8/14/2019 Ak Kod Gvenlik Klavuzu
8/21
yetinmeyip izlenilen trafiin deitirilmesini desalar(MITM).
Ettecap kullanarak zellikle Layer2 zerinde alanprotokoller ve ileyi yaplar iyice renilebilir.
Desteklenen Platformlar:Linux 2.4.x, Linux 2.6.x FreeBSD 4.x 5.x, OpenBSD 2.X 3.x,NetBSD 1.5 , Mac OS X (darwin 6.x 7.x), Windows 2000/XP/2003,Solaris 2.x
Lisans: GPL
Dsniff
Dsniff Dug Song tarafndan a gvenlii denetimi ve trafikdinleme amal yazlm bir programdr.
Dsniffin oluturan baz programlar ve ilevleri ;
Mailsnarf, urlsnarf, filesnarf, msgsnarf, webspy aralar aortamnda gezen zayf parolalar ve eitli bilgileriokunabilir formatta sunmak iin kullanlabilir. Meselaurlsnarf arac kullanlarak akan trafik ierisinden 80, 3128ve 8080 portlarn dinleyerek web trafiine ait URLleriMicrosoft IIS ve Apache tarafndan da kullanlan Common Log
Format (CLF) formatnda kaydeder.
# urlsnarf -i xl0urlsnarf: listening on xl0 [tcp port 80 or port 8080 or port
3128]
Bunlarn dnda kotu amal ellerde olduka tehlikeliolabilecek arpspoof, macof, dnsspoofgibi ileri dzey aralarada sahiptir. Bu aralarla salam korunmam bir LAN ierisindeSSL, SSH, SSH ve DNS trafikleri yanltlabilir. Dsniff
kullanlarak Switched alardaki gvenlik sorununu anlatan biryazya http://www.mutasyon.net/makaleoku.asp?id=756 adresindenerisilebilir. Ksacas gvenlik zerine uraan yneticilerinelinin altnda bulunmas gereken bir yazlmdr.
Dsniff Windows iletim sistemi zerinde de alr.http://www.datanerds.net/~mike/dsniff.html adresindenDsniffin Win32 srm edinilebilir.
Cain Abel: Dsniff aralar btnn yapt hereyi Windows
ortamnda GUI aracl ile yapabilme olana salar.
8/14/2019 Ak Kod Gvenlik Klavuzu
9/21
http://naughty.monkey.org/~dugsong/dsniff/ adresinden Dsniffile ilgili detay bilgi edinilebilir.
http://www-128.ibm.com/developerworks/library/s-sniff.html
Snoop
Snoop solaris iletim sisteminde alan bir snifferdir. Snoopile realtime trafik izleme yaplabilecei gibi trafii snoopformatnda kaydedip sonra inceleme amal da kullanlabilir.
#Snoop o dosya_ismi
Kaydedilen dosya
#Snoop i dosya_ismi ile incelenebilir.
Snoop ile mac adresine gore de trafik analizi yaplabilir.
#Snoop from 00:04:5b:f2:83:33 or to 02:06:5b:f2:87:41
eklinde bir komut ile belirli mac adresleri arasndakitrafigin yakalanmas salanr.
Snoop modda alr, zet mod detay zet ve detay mod.
Varsaylan mod zet moddur(summary) ve bu modda trafik 5,67gibi st katmanlar iin yakalanr.-V ile altrldnda layer2Den layer 7ye kadar zet birekilde sunar.-v ile altrldnda yakalanan pakete ait tm detaylargrlebilir.
!!Snoop herhangi bir zgr lisansa sahip deildir ve kaynakkodlar ak deildir. Snoopun Linux iin alan versionlar
bulunmaktadr.
ifreleme/ VPN Aralar
OpenSSL
OpenSSL gvenli a iletiimi iin dnlm SSL/TLSprotokollerinin tamamen zgr olarak kullanlabilenversiyonudur.
Eric A. Young ve Tim J. Hudson tarafndan 1995 ylnda
balatltlan SSLeay projesinin 1998 ylnda son bulmas ile
8/14/2019 Ak Kod Gvenlik Klavuzu
10/21
hayat bulmutur. OpenSSL ifreleme ktphanesi ve SSLaralarndan olumaktadr.C ve C++ programlama dilleri kullanlarak yazlmtr.Windows, Unix ve Linux sistemlerde sorunsuz altrlabilir.
OpenSSL salad API sayesinde bir ok 3. parti yazlm iingvenli versiyonlar sunar. Mesela OpenSSH OpenSSL kullanr.Dier bir rnekte Mysql., mysqli with-openssl --with-vioseenekleri ile derlenirse MySQL sunucusu ve istemcisiarasndaki trafik ifrelenmi bir ekilde gerekletirilir.
Apache mod_ssl aracl ile HTTPS hizmeti sunabilir, mossslise OpenSSL tabanl bir modldr.
OpenSSL Kullanlarak zel de sertifikalar oluturulabilir ve
bu sertifikalar imzalanabilir. CA kurulabilir. Ve sertifikadatm yaplabilir.
Temel OpenSSL Kullanm
Bir dosyaya ait hash karm
$ openssl dgst -md5 /etc/pf.confMD5(/etc/pf.conf)= be11833967a109ad3dd3411bbe32f578
/etc/pf.conf dosyasna ait MD5 imzasn alr.
Bu imzay standart ktya deilde bir dosyay yazdrmakistersek
$openssl dgst -sha1 -out imza /etc/pf.conf
$cat imzaSHA1(/etc/pf.conf)= b968003786b48d10299176b795a6f5e7d954536d
Stunnel
ifrelenmemi protokolleri ifreli tnel aracl ilekullanmak
Internet zerinde sk kullanlan ou protokol ifreliiletiimi desteklememektedir. Bu durumda bu protokolleriifreli bir tnel aracl ile kullanarak son kullanc ilesunucu arasndaki iletiimi kullancya ek bir mdahelegerektirmeden ifreli hale getirebiliriz. Bunun iinkullanlabilecek birok program vardr. Ak kaynak koddnyasnda bu programlardan en bilineni stunneldir
(http://www.stunnel.org). Stunnel yapsnda ifrelemezellikleri bulunmayan protokoller iin bir arac vazifesi
8/14/2019 Ak Kod Gvenlik Klavuzu
11/21
8/14/2019 Ak Kod Gvenlik Klavuzu
12/21
AIX, HP-UX , Irix L, Linux , NeXT , SCO , SNI/ReliantUnix , Solaris , Digital Unix/Tru64/OSF , Mac OS X ,Cygwin ile Windows
Kullanm Alanlar
SSH' gvenliin gerektii her ortamda kullanlabilir.Sadece kar sisteme balanp komut altrmak ya da dosyaaktarm yapmak iin deil gvensiz olarak grdmzprotokolleri SSH zerinden gvenli bir ekilde iletiimi desalanabilir . Mesela POP3 servisi a zerinden tmiletiimini ifrelenmemiekilde(plain text) gerekletirir,biz pop3 servisini SSH zerinden aktarm yaparak ifrelenmive gvenli hale getirebiliriz, buna port forwarding denir.
Portforwarding basitce aadaki gibi yaplr;
ssh -f -L 1234:server.bizimhost.net:6667 server.se7enhost.comsleep 10
OpenSSH takm aadaki programlardan olumaktadr;
Ssh, Scp, Sftp, Sshd, ssh-add, ssh-agent, ssh-keysign, ssh-keyscan, ssh-keygen, sftp-server
OpenVPN
OpenVPN multi platform bir SSL VPN zmdr. SSL VPNdenilince akla gelen bir browser aracl ile VPN yapmaktrfakat buradaki SSL VPN tanm bu tanmdan farkld. YaniOpenVPN bir browser ve TCP/443 portu kullanarak kullanlamaz.OpenVPN ile yaplabilecekler;
Linux, Windows 2000/XP ve zeri, OpenBSD, FreeBSD, NetBSD, Mac
OS X ve Solaris iletim sistemlerinde altrlabilir.
OpenSSL ktphanesinin sunduu encryption,authentication, ve certification
zelliklerini kullanabilir. Nat zerinden sorunsuz tnetl oluturma stee bal olarak GUI ile ynetim. Bridge ve route mode olmak zere 2 farkl katmanda VPN
zm olarak kullanlabilir.
8/14/2019 Ak Kod Gvenlik Klavuzu
13/21
PopTop
PopTop (The PPTP server for Linux ) Linux/Solaris ve BSDsistemler iin balatlm bir PPTP(point to point tunnelingprotokol) projesidir. PPTP, utan uca tnelleme/ifreleme
sunar. Microsoftunda aralarnda bulunduu bir konsorsiyumtarafndan internet zerinden gvenli VPN eriimleri iingelitirilmitir. PPTP istemci-sunucu mant ile alr,zellikle Windows istemci makinelerin hazr PPTP istemciyazlmlar ile datld dnlrse olduka kolayyaplandrlabilir bir VPN zm ortaya km olur. Linux vedier iletim sistemleri iinde pptp istemci yazlmlarbulunabilir bunlardan Linux iin olannnahttp://pptpclient.sourceforge.net/ adresinden erisimsaglanabilir.
GPL Lisans ile zgrce kullanlabilir.
PopTopa ait baz zellikler;
Microsoft uyumlu kimlik denetimi ve ifreleme(MSCHAPv2,MPPE 40 - 128 bit RC4)
Ezamanl birden fazla kullanc destei Windows 95/98/Me/NT/2000/XP PPTP istemcileri ile birlikte
alabilir.
Radius eklentisi ile samba ve ldap zerinden onaylamayapabilir.
PPTPnin de kendine has eitli gvenlik sorunlar vardr.Dkmantasyon iin: http://poptop.sourceforge.net/dox/
Proje ana sayfas http://www.poptop.org
A tarama aralar
Nmap
Nmap(Network Mapper) ok amal a aratrma ve port taramaaracdr. Kolay kullanm ve sunduu esnek zellikleryllardr NMAPi gvenlik dnyasnda hakl bir yereoturtmutur. Uzun sredir Fyodor Arkin tarafndangelitirilmektedir ve birok Linux datm ile birliktgelmektedir. BSD sistemler iin port aacndan kolaylklakurulabilir. Olduka detayl ve anlalr bir man sayfasvardr.
Sistemini komut satrndan kullanmaya alm unix uzmanlarnahitap ettii gibi komut satrna hi bulamadan kullanmak
8/14/2019 Ak Kod Gvenlik Klavuzu
14/21
isteyen kullanclar iinde olduka basit anlalr birgrafik arabirim sunar. Bunun yannda eitli a ve gvenlikaratrmaclar tarafndan NMAPi temel alm eitli yazlaryaynlanmtr, bu yazlara google arama motorunda yaplacakbasit aramalar sonucu ulamak mmkndr. Aslnda NMAP bu
ekilde birka cmleye sdrlamayacak kadar zelliibnyesinde bulundurur. Nmap ile yaplabilecek baz ilemler
eitli Port tarama tekniklerini desteklero UDP,o TCP connect(),o TCP SYN (half open),o ftp proxy(bounce attack),o ICMP (ping sweep),o FIN, ACK sweep,o Xmas Tree,o SYN sweep,o IP Protocol,o Null scan
TCP/IP fingerprint ile iletim sistemi saptama Paralel port tarama alan servis tipi ve versiyonu belirleme Uptime sresi belirleme
Lisans :
GNU GPL Lisans altnda zgrce datlmaktadr
Destekledii platformlar
NMAPin destekledii baz populer iletim sistemleri;
Linux, Microsoft Windows, FreeBSD, OpenBSD, NetBSD, Solaris,Sun OS, IRIX, Mac OS X, HP-UX, Amiga,
Hping
Hping komut satr tabanl bir TCP/IP analiz programdr.smi ping programndan esinlenilmesine ramen ping programgibi sadece icmp echo paketleri ile deil icmp, tcp, udp raw-ip protokolleri ile alabilir. Hpingin kullanmamalarndan bazlar aadaki gibidir,
Ate duvar testleri Gelimi port tarama
8/14/2019 Ak Kod Gvenlik Klavuzu
15/21
Gelimi traceroute letim sistemi saptama Uzak sistemlerin uptime surelerini belirleme TCP/IP yn testi
Gncel srm 2.03 olmakla beraber yeni ve daha gelimi birsrmnn testlerine de hpingin sitesinden ulalabilir.
Hping 3 versiyonu ile birlikte artk bir betik dili(TCL)aracl ile ileri dzey gvenlik testleri yaplabilir halegelecek. Betik dili sayesinde yzlerce satr C kodu ileyaplabilecek eklentiler, ilemler ok ksa bir sredeyaplabilecek. Mesela bu betik dili sayesinde hpinge taramayaplan hostlar bir mySQL veritabanna yazmas salanabilirbenzer ekilde gvenlik tarama sonularn dan eitliistatistikler karmas salanabilir.
Desteklenen platformlar
Linux, FreeBSD, NetBSD, OpenBSD, Solaris, MacOs XLisans
Hping GNU GPL lisans altnda zgrce datlmaktadr.
Kurulum:
Birok Linux datm iin hazr paketler internettebulunabilir. FreeBSD, OpenBSD kullanclar port aacnda/usr/ports/security/hping dizini altnda bulunur. Kurulum iin
#cd /usr/ports/security/hping#make install
komutlarnn verilmesi yeterlidir.
Kaynaklar:
[1]http://www.hping.org[2]http://www.sans.org/rr/audit/hping2.php[3]http://infosecuritymag.techtarget.com/2003/jul/logoff.shtml
Nessus
Gvenlik zaafiyeti inceleme program
1998 ylnda Renaud Deraison tarafndan ak kaynak kodlu,kolay kullanml ve gncel bir zayflk inceleme projesi
8/14/2019 Ak Kod Gvenlik Klavuzu
16/21
olarak balatlmtr. Projenin geldii nokta incelendiindezerinden geen 6 ylda internet dnyasnda hatr saylr biryer edindii grlebiblir. Internet zerine free/commercialgvenlik tarama ilemi yapan birok irket altyap olarakNessus'u kullanmaktadr.
Son raporlara gre dnya zerinde 75.000 profesyonel gvenlikuzman tarafndan aktif olarak kullanld saptanmtr.
Projeye ait baz nemli zelliklero GPL lisans ile zgr datm ve kullanmo Gncel zayflk veritaban (Gnlk)o Uzak ve yerel sistem gvenlik tarama zellii
o Nessus yerel gvenlik taramas yapabilen ik rno Windows, UNIX ve Mac makinelere login olarak gerekli
taramalar, eksik yamalar belirleyebiliro Gelimi Plugin() destei
o Yaklak 8000 farkl plugino Plugin gelitirmek iin ayr bir programlama dili(NASL)Nessus Attack Scripting Language)
o SSL tabanl servisleri tarama zellii (https, smtps, imapsetc)
o Komut satrndan kullanm olanao Kullanc destei
o Gnlk ~2000 indirim sayso Ortalama 50000 kullanc
Yerel ve Uzak sistemler gvenlik testi
Normal bir gvenlik taraycs a zerinde hedef olarakbelirtilen sistemlere tcp/ip protokol kullanarak taramayapar. Bu ilemlerde hedef sisteme ait servislerdeki gvenlikzaafiyetlerini belirleyebilir. Hedef sistemde bulunan fakatdarya bir servis olarak sunulmayan gvenlik aklarnbelirleyemez. Mesela normal gvenlik tarayclar bir sistemdehangi gvenlik yamalarnn eksik olduunu belirleyemez .Nessus burda bir adm ne karak belirtilen hedef sistemeSSH(Linux, UNIX) ve ya smb(MS Windows ) zerinden
balanarak(doru eriim bilgileri verilmek sureti ile )iletim sistemine ait gvenlik yamalarn belirleyebilir.
Gncel olarak Nessus aada belirtilen iletim sistemlerineait gerekli yamalar inceleyebilir.
AIX 5.x Debian Fedora Core 1 and 2 FreeBSD 4.x, 5.x (including the port collection) Gentoo Linux (all advisories from 2004) HP-UX (10 and 11) Mac OS X (and Mac OS X Server)
8/14/2019 Ak Kod Gvenlik Klavuzu
17/21
Mandrake Linux (8.0 to 10.0) RedHat Enterprise Linux (2.1 and 3.0) Solaris (2.5.1, 2.6, 7, 8 and 9) SuSE Linux (7.0 to 9.1) Microsoft Windows NT, 2000, XP, 2003
http://nessuswx.nessus.org/ adresinden Windows iin istemci
edinilebilir.
Nessus Web Arabirimleri
Bilbo http://www.doc-s.co.uk/NessusWC http://www.frank4dd.com/sw.htm
John The ripper
John the Ripper, Linux/UNIX/Windows sistemlerinde alanhzl bir parola krma programdr. Temel amac zayf UNIXparolalarn krmak olsa da birok sistem iin parolar krmailemini baarl bir ekilde yerine getirir. JTR in baarlbir ekilde krabilecei baz parola tipleri;
Parola ile korunmus Microsoft Office dosyalar Internet Explorer da saklanan parolalar Adobe Acrobat parolalar Outlook/Outlook Express parolalar Parola ile korunmu birok zip format(zip, rar, arj,
ace).
Yahoo!, MSN, ICQ gibi populer programlarn parolalar. Windows9x/me/2000/XP ve Unix isletim sistemi parolalar.
http://www.openwall.com/john/ adresinden programile ilgilidetay bilgiye eriilebilir
Antivirs ve Rootkit Aralar
ClamAV
Ak kod antivirs yazlmdr.
zellikleri;
o Komut satrndan ynetim.o 34000 den fazla viru, worm ve trojans imzasn tanro Sktrlm dosyalarn tarayabilme
8/14/2019 Ak Kod Gvenlik Klavuzu
18/21
RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinetfiles, MS CHM (Compressed HTML), MS SZDD
o Hzl gncellenen virs veritabano Haftada birka kere gncelleniyor, virs belirtisinin
ardndan saatler ierisinde.
o Otomatik gncelleme imkan(freshclam)o Kendi virs imzalarnz ekleme imkan
Destekledii PlatformlarLinux, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X
Lisans : GPL
Online Virs Tarama Hizmeti
http://test-clamav.power-netz.de/ adresinde altyaps ClamAvkullanlarak hazrlanm online virs tarama hizmetibulunmaktadr. Bilgisayarnzdaki herhangi bir dosyay engncewl virs veritabannn bulunduu bu sayfadan kontrolettirilebilir.
3. parti yazlmlar
ClamAV ile birlkte alan baz 3.parti yazlmlar:qSheff
qSheff, qmail e-posta sunucusu ile alan virs ve spamtaramas yapabilen gelimi zelliklere sahip bir ierikfilitreleyicidir. qmail-queue 'nun yerine geerek qmail-smtpdveya qmail-inject ile gelen e-postalar nce kendisi alr.erik taramasndan sonra eer e-postann geiine izinveriyorsa kuyrua brakyor ve yoluna devam etmesini salyor.qSheff, e-postalar kuyrua girmeden keserek e-posta sunucununykn byk oranda azaltmaktadr.
DansGuardian Anti-Virus Patch
mod_clamav
ClamAV module for ProFTPDClamWinWebmin ClamAVsnort-inline
Refranslar;
8/14/2019 Ak Kod Gvenlik Klavuzu
19/21
o SourceForge:o The MacOSX server features pageo OnLampo DynDNS:o FastMailo Tm referanslara ulamak iinhttp://www.clamav.net/whos.html#pagestart adresi ziyaret
edilebilir.
RootKIT
Rootkit Hunter Unix, Linux benzeri iletim sistemleri iinrootkit tarama aracdr. Rootkithunter ,bash, perl scriptlerive rootkitlerin imzalarn tuttuu bir veritabndanolumaktadr. Kullanm olduka basit olmasna rame kullanm
sonras verdii ktlar anlamak iin baz detaylarnnbilinmesinde fayda vardr.
Rootkitler deitirilmi sistem binarylerini kontrol ederkenzerinde tuttuklar veritaban ile karlatrrlar. Eer buveritabanna uymayan bir rootkit yklenmise sisteme rootkittarayc programlar bunu tanyamaz. Budurumda rootkit taramaprogramlarnn sunduu ileri dzey seenekler kullanlarakanormallikler belirlenebilir.
Kaynaklar:
www.Rootkit.comwww.Rootkit.orgwww.Rootkit.nl
Squid
Eklenecek***
DansGuardian
Squid ya da Oops ile kullanLabilen tam donanml ierik filtreleyicidir. Squid ileyaplamauacak birok filtreleme zellii Dansguardian ilekolaylkla yaplabilir.
Dansguardianin temel zellikleri;
Siteleri PICS(http://www.w3.org/PICS/) etiketlemesistemine gre bloklayabilir
8/14/2019 Ak Kod Gvenlik Klavuzu
20/21
MIME tipine ve dosya uzantsna gre filtrelemeyapabilir.
Dzenli ifadeler ile URL filtreleme yapabilir. IP tabanl URL filtreleme Veritabanna uygun CSV formatnda log retir. Belirli IP ve kullanc adna gre filtreleme
Sunucu izleme aralar
Nagios
Nagios ak kodlu host, a ve servis gzlem sistemidir. Sistemyneticisi tarafndan belirlenen gzlem parametrelerine grebelirli sistemleri, servisleri gzlemleyerek servislerde
meydana gelebilecek problemleri sistem yneticisine eitliekillerde(E-posta, SMS, SNMP, Anlk mesajlama (IM))bildirebilir.
Nagiosa ait baz nemli zellikler;
o eitli a servislerini gzlemleyebilir(SMTP, POP3,HTTP, NNTP, PING,vb)
o letim sistemine ait eitli yerelkaynaklargzlemleyebilir(ilemci yk, bellekkullanm , disk kullanm, alan prosesler)
o Uygun eklentilerle ortam sicakligi gibi fizikeselverileri izleyebilir
o Modler yaps sayesinde 3. ahslar tarafndanyazlan eitli eklentiler kullanlabilir ya dakendi istediiniz eklentiyi yazp kullanma imkansunar
o GPL Lisans ile zgr datm ve kullanm hakko CGI tabanl web arabiriminden kolay ynetim ve
izleme imkano Zamanlanabilir ayarlama imkano Kolay kurulum ve ynetim
Debian, Suse, Mandrake gibi Linux datmlarile birlikte gelmektedir. BSD sistemler iinport aacndan kurularak kullanlabilir.
o Ak, detayl dkmantasyono E-posta listeleri aracl ile geni destek.
Kaynaklar:
http://www.enderunix.org/docs/nagios.pdfhttp://www.nagios.org/docs/http://www.linuxjournal.com/article/6767
8/14/2019 Ak Kod Gvenlik Klavuzu
21/21
http://www.onlamp.com/pub/a/onlamp/2002/09/05/nagios.htmlhttp://seminer.linux.org.tr/seminer-notlari/nagios-140504.sxi
Huzeyfe NAL