Complexity Is the Enemy of Security

Basit ama etkili UNIX araclari ile oldukca guzel isler yapabiliyoruz. Guvenlik egitimlerinde kullanmak uzere ham trafik analizi yapacagim araclari karsilastirirken Chaosreader ile tanistim. Chaosreader basitce, tcpdump, snoop , Ethereal gibi programlarla kaydedilmis ham trafigi okuyarak anlamli veriler cikariyor. Mesela yuzlerce satirdan olusan , port ve ip bilgilerinden baska birseyi anlamadigimiz tcpdump ciktilarindan kaydedilen bir grafigin orjinalini elde edebiliyoruz.. Nasil mi?
#tcpdump -s9000 host www.enderunix.org -w enderunix

arkasindan wget ile EnderUNIX altindan bir gif dosyasi indiriyorum

$wget http://www.enderunix.org/images/logo.gif

ve chaosreader ile enderunix dosyasina kaydettigim trafigi okutuyorum

$perl chaosreader0.94 enderunix
Chaosreader ver 0.94

Opening, enderunix

Reading file contents,
100% (11455/11455)
Reassembling packets,
100% (21/21)

Creating files…
Num Session (host:port <=> host:port) Service
0001 172.16.10.2:64733,64.90.164.206:80 http

index.html created.

Bulundugum dizindeki index.html dosyasini actigimda sitedeki gif dosyasinin aynisini elde etmis oluyorum.. Nasil basit ama etkili degil mi?

chaosreader ile yapabilecekleriniz sadece bunla sinirli degil. Programin detaylarini ogrenmek icin http://chaosreader.sourceforge.net/ adresini ziyaret etmeniz yeterli.

Yerel agdaki kullanicilarimizin gonderdigi mail basliklari incelenerek hangi IPleri kullandiklari ogrenilebilir. Bu durum sizin icin sakincali ise(yerel ag bloklarinizi saklamak isteyebilirsiniz ya da vs)Qmail’e giden maillerde yerel ag IPleri yerine istedigimiz bir IPyi gostermesini soyleyebiliriz. Cogunlukla bu Mail sunucunun gercek IP adresi olur.

Yerel ag iplerini saklamak icin /etc/tcp.smtp dosyasina asagidaki satiri uygun sekilde yazip
#qmailctl cdb komutunun vermeniz yeterli.

172.16.10.:allow,RELAYCLIENT=”",TCPREMOTEIP=”1.2.3.4″,TCPREMOTEHOST=”belirledigim-isim.net”

1.2.3.4 >>>Gercek IP
172.16.10.0/24 >>>yerel IP blogu

Ilk durumda yerel ag IP adresleri herhangi biri tarafindan asagidaki gibi gozlenebilmekte.

Received: from unknown (HELO huzi.xyz.edu.tr) (1.2.3.4)
by 0 with SMTP; 24 Jul 2006 05:58:29 -0000
Received: (qmail 95869 invoked by uid 1013); 24 Jul 2006 07:54:12 -0000
Received: from localhost.xyz.edu.tr (HELO rapsodi) (172.16.10.2)

Gerekli degisiklikleri yaptiktan sonraki durum, yerel ag ip adresleri yerine bizim belirledigimiz IP ve hostname gozukmekte;

Received: from unknown (HELO huzi.xyz.edu.tr) (1.2.3.4)
by 0 with SMTP; 24 Jul 2006 06:07:47 -0000
Received: (qmail 95972 invoked by uid 1013); 24 Jul 2006 08:03:27 -0000
Received: from belirledigim-isim.net (HELO Firewall?) (1.2.3.4)
by huzi.xyz.edu.tr with SMTP; 24 Jul 2006 08:03:27 -0000

Acik kod dunyasinda vpn kullanimi icin oldukca cok secenek var[1]. Fakat en hizli, en kolay VPN kurulumu kanimca OpenSSH ile yapiliyor. OpenSSH 3.4 surumu ile birlikte gelen tunnelin destegi[2] ile tam bir VPN kurulumu gerceklestirilebiliyoruz.

Ornek;

Site1(1.2.3.0/24)–GW1–internet–GW2–Site2(5.6.7.1/24)
yukaridaki sistemde site1 ile site2 arasinda VPN yapmak istiyoruz.. Bunun icin gerekli ssh ve ip yapilandirmasi..

Site1;
#ssh -w0:0 5.6.7.1

bu adimdan sonra her iki tarafta tun0arabirimleri acilacak ve up hale gelecektir. Bundan sonraki islem bu arabirimlere uygun IP adresleri atamaktir..

Site1 icin IP tanimlamasi;

#ifconfig tun0 100.100.100.1 netmask 255.255.255.252

Site2 icin IP tanimlamasi;

#ifconfig tun0 100.100.100.2 netmask 255.255.255.252

ayarlari kalici hale getirmek icin kullanlian Linux/UNIX dagitima gore gerekli islemler yapilmali.. Bu ayarlari tamamladiktan
sonra tunelin iki ucu birbirini gorur vaziyettedir. Bunu bir uctan digerine ping atarak sınayabiliriz. (sistemdeki Firewall vs nin tun0 icin engelleme yapmadigini varsayiyoruz..)

Bundan sonra yapilacak ayarlar VPN’i ne amacla kullanacaginiza bagli olarak degisir. yine yukaridaki cizime gore devam edecek olursak. Site1′in site2′ye ulasmasi icin;

Site1 gatewayinde

#route add -net 5.6.7.0/24 dev tun0

komutunu vermeliyiz. Boylece ssh kurulu gateway’e gelen paketler dogru araibirimden yonlendirilerek karsi sisteme ulasacaktir. Ayni sekilde site2′ye ulasan paketlerin geri donebilmesi icin Site2 gatewayinde

#route add -net 1.2.3.0/24 dev tun0

komutu verilmeli ve son olarak IP forwarding aktif edilmeli.
sysctl net.inet.ip.forwarding=1 (*BSD sistemler icin), linux icin
echo 1 > /proc/sys/net/ipv4/ip_forward komutu da ise yarar.

ya da ihtiyaca gore NAT yapilabilir…

Not:noktadan noktaya VPN kurulumu icin sshd-config dosyasinda PermitTunnel secenegi yes olmali.[3]

[1] Acik kod VPN Cozumleri - http://www.enderunix.org/slides/Internet%20Konferanslari/acikkodvpn.pdf
[2] -w tunnel:tunnel
Requests a tun(4) device on the client (first tunnel arg) and
server (second tunnel arg). The devices may be specified by nu-
merical ID or the keyword “any”, which uses the next available
tunnel device. See also the Tunnel directive in ssh_config(5).

[3] man sshd_config
PermitTunnel
Specifies whether tun(4) device forwarding is allowed. The argu-
ment must be “yes”, “point-to-point”, “ethernet”, or
“no”. The default is “no”.

Netsec’de Enis’in tartismaya actigi benim de uzun zamandir muzdarip oldugum bir konu - Turkiye’deki Guvenlik Destek/danismanlik firmalari- hakkindaki yorumlarim;

Oncelikle destegi iki sekilde ele almakta fayda var;

Biri kullandigim urunlerin destegi, digeri de genel guvenlik danismanligi.

1. Kullandigim urunlerin destegini alirken dikkat ettigim/olmasini istedigim hususlar;

* Urunu satan firma bu konuda gercekten tecrubeli mi?
* Urun ile ilgili yasadigim problemlerde ne kadar surede cevap alabiliyorum. Gerekiyorsa yurtdisindan destek alabiliyor muyum? Bu konuda anlasmalarda su kadar surede sorunu cozeriz seklinde anlasma imzalayan firmalarin oldugunu duydum.
* Ara ara yeni cıkan urunler , teknolojiler konusunda beni bilgilendirmesini, tek bir urune bagimli kalmamasini isterim.

* Urun alim oncesinde belirli bir sure test kullanimi saglayabilmeli.

2. Genel Guvenlik destek/danismanligi icin dusuncelerim;

* Urun bagimsiz calisabilmeli, farkli urunler arasi entegrasyon saglayabilen calisanlari olmali

* Pen-test. Vs gibi calismalarda sadece belirli araclar ile islem yapmamali. Standartin disina cikarak gerekiyorsa ozel araclarini yazabilmeli.

* Firmanın calistirdigi elemanlarin gercekten guvenilir olmasi.

* Anlasma metninde bilgilerimin kesinlikle 3. sahislarla paylasilmamasi gerektigini belirtip, karsiliginda yaptirim uygulayabilmeliyim.

� * Gorusmelere teknik bilgisi iyi olan ��pazarlamacilarini� yollamasini isterim

Turkiye�deki guvenlik firmalari icin yorumlarim ise pek ic acici degil. Soyleki, genellikle konuya hakim olmayan calisanlari var. Toplam bir guvenlik cozumu degil de urun cozumu sunuyorlar� Guvenlik taramalarinda klasik araclarin otesine -genellikle- gecemiyorlar. bu konuda yetismis elemanlari yok/az. Pazarlamacilari teknik bilgiye sahip olmuyor. (Istisnalari saymiyorum).

Basit sifreleme algoritmalarini test edip daha iyi ogrenmek icin bir arac ararken Yellowpipe’in internet sayfasina rastladim.. Internet uzerinden ASCSII, Binary, Base 64, Hex, Caesar Bruteforce, MD5, SHA-1, HTML Entities vb gibi cok cesitli formatta sifreleme/cozme islemlerini yapabiliyor..

http://www.yellowpipe.com/yis/tools/encrypter/index.php

Guncelleme:–

https://addons.mozilla.org/firefox/3208/ adresinden edinebileceginiz Fire Encrypter eklentisi ile tum bu sifreleme islemlerini Firefox ile yapabilirsiniz. Oldukca sahane bir fikir.

“bu yazi tamamen kisisel tecrubelerden yola cikarak hazirlanmistir”

Is/arkadas cevresi ve e-posta araciligi ile en fazla muhatap kaldigim sorulardan biri “piyasada bu kadar guvenlik duvari varken hangisini kullanmaliyim?” . Oncelikle “Guvenlik Duvari” tabirinin artik tarih olmaya basladigini soylemeliyim. Cok az urun Guvenlik duvari olarak adlandirilabilir. cogunluk genelde Security Gateway ya da UTM(Unified Threat Management) kategorisine giriyor. Bir guvenlik duvarinda Antivirus taramanin mantigi nedir? Ya da url filtrelemenin… Guvenlik duvari L7 de calistirilirsa ondan alinacak performans ve “guvenlik” de ters oranda dusecektir. Burada sanirim ticari yazilimlarin musteri memnuniyeti ve isteklerine gore gelistirildigi olgusu yatiyor.(Firewall tanimi: )
Sorulan sorularda dikkat edilmeyen bir husus da bu soruya “iste baligin dik durani iyidir, bayat olmaz gibisinden” bir kestirme cevap verilemeyecek olmasıdır. Yani oyle hazir, her ortama uyacak bir cevap malesef ki yok. Kullanilacak ortamin, gereksinimlerin oncelikle iyi belirlenmesi gerekir ki sonradan hic gerek duymadiginiz halde yuzlerce ozelligi olan,oldukca fahis fiyatlara guvenlik duvari yazilimi/donanim satin alabilirsiniz…

Bugune kadar gerek is hayatinda gerek test amacli oldukca fazla Guvenlik duvari(utm, SG, vs) denedim. Guvenlik duvari urunleri oldukca olgun bir statude, bir nevi artik gelisimini tamamlamis ki bu sebepten solayi da Guvenlik duvari ile ilgilsi olmayan ozellikler ekleniyor
Tekrar hatirlatmam gerekir ki burada yazilanlar tamamen kisisel tecrube ve gozlemlerim sonucudur. Belirttigim urunlerin bir cogunu uzun sure kullandim bazilarini ise sadece kullanilan ortamlarda denedim/destek verdim.

• Maliyet?
• Kullanim Kolayligi?
• Ozellikler

Hangi Guvenlik Duvarlarini Kullanabilirim?

Turkiye’de yogun kullanilan(benim rastladigim) guvenlik duvari urunleri listesi ;

• CheckPoint
• Netscreeen
• Fortigate
• I-Bekci
• Labris
• Ares-Wall

Acik Kaynak Kod ailesinden;

• FreeBSD IPFW, IPF
• OpenBSD PF
• Linux Iptables

Acik kod urun kullanma ile ticari urunler arasindaki fark.

Evet, eger acik kaynak kodlu sistemlerden iyi anlayan bir elemaniniz varsa ve bu konuda destek alabileceginiz bir firma varsa diger urunlere muhtemelen cok ihtiyac duymazsınız. Bircok firmada Checkpoint, Netscreen, cisco yerine acik kaynak kodlu sistemleri entegre ederecek basarili bir sekilde calistiran biri olarak, uygun araclari iyi sekilde kullandiginiz muddetce bir sorun olmayacaktir.Bu konudaki anahtar kelime risk.

Acik kaynak kod sistemleri kullanarak bir risk aliyorsunuz ve eger bu riski tasima korkusu yoksa ya da riski nasil yoneteceginizi biliyorsaniz kullanmanin hicbir sakincasi yoktur. Dikkate deger diger bir noktada yonetim. Acik kaynak kodlu sistemleri genellikle bir hamura benzetirim, hamurdan super bir baklava da yapilir, sade yemek icin ekmek de. Bu ascinin bilgisi ve marifetine bagli olarak degisir.

Ag Guvenligi(Netsec) listesinde bir arkadas arp request ile APR nasil oluyor diye sormus… Aslinda arp request yontemi ile arp zehirleme az bilinne bir yontem ve genelde tercih edilmiyor. Isin detayi su sekilde;
A Router ve MAC adresi xx:..

B Kandirilacak Makine MAC adresi yy:..

C APR yapan makine MAC adresi zz:..

olsun…

Burada ARP request ile arp poisoning soyle gerceklesiyor.

C, B’ye icerigi asagidaki gibi bir sahte paket gonderiyor..(ARP Request)

Sender MAC Address: zz:..
Sender IP Address : B

Target MAC address: 00:00:00:00:00..
Target IP Address: A

bu paketle A’yi kandiriyor ve B’nin C oldugunu soyluyor. Sonra benzer sekilde B’yi kandirip kendisinin A oldugunu soylemesi lazim . Bunun icinde asagidaki gibi bir paket gonderiyor.

Sender MAC Address: zz:..
Sender IP Address : A

Target MAC address: 00:00:00:00:00..
Target IP Address: B

bu paketler sonrasi her iki tarafin da arp bellekleri zehirlenmis oluyor.

Oturum kurulmus bir TCP baglantisini Guvenlik duvarina yasaklayici kural ekleyerek engellenemez. Zira eklenen kural bundan sonra gelen paketler icin gecerli olacaktir. Oturum kurulmus TCP baglantilarini sonlandirmak icin OpenBSD sistemlerde tcpdrop araci kullaniliyor. Basitce kullanimi;

#tcpdrop 192.168.0.56 80 18.15.19.10 5643

Bu komutla yerel adresi 192.168.0.56 ve yerel portu 80 olan, hedef adres 18.15.19.10 hedef portu 5643 olan TCP baglantisi sonlandirilabilir.

Detay kullanim icin man 8 tcpdrop

Linux icin cutter(http://www.lowth.com/cutter/) programi da iyi bir alternatif olarak goze carpiyor.

Squid’e yazdiginiz ACL lerinizde problem yasiyorsaniz, mesela yasakladiginiz bir siteye yasakladiginiz bir kullanici/grup girebiliyorsa muhtemelen ACL siralamasinda hata yapmissinizdir ya da Squid’in 2.3 veya sonrasinda degistirdigi yeni ACL yapisina takilmissinizdir. Squid’de ACL ler bastan sona okunur ve yine bu sirada islem gorur. O yuzden once detay ACLler sonra genel ACLler yazilmasinda fayda vardir. Diger bir problem de Squid 2.3 ve 2.4 surumu ile ACL kontrolunde bazi temel degisikliklere gitti. Mesela dstdomain xxx.com denildiginde sadece xxx.com a ait acl yazilmis olur, dstdomain .xxx.com yazildiginda ise xxx.com ve buna ait tum subdomainler kapsanir gibi..

Oncelikle hatanin nerden kaynaklandigini bulabilmek icin squid.conf’ta debug ayarlarini yaparak kullanicinin girmemesi gerektigi siteyen neden/hangi acl den dolayi girdigini gorebilirsiniz. bunun icin squid.conf dosyasindaki debug_options anahtarinin degerini

debug_options ALL,1 33,2

sekline getirmelisiniz. Squid’i yeniden baslattiktan sonra

cache.log dosyasinda hangi yasaklamanin/izinin hangi ACLden

kaynaklandigi gorulebilir. Eger hatayi bulmaya bu detay yetmedi ise

debug_options’u asagidaki degerlerle degistirmeyi deneyin.

debug_options ALL,1 33,2 28,9

root | 20 September, 2006 21:06

OpenBSD ile birlikte gelen Firewall yazilimi PF’in scrub ozelligi kullanilarak isletim sistemi saptama yazilimlari bir dereceye kadar yaniltilabilir. Basitce scrub RFC’lere uyumlu olmayan paketleri dusurme isini yapiyor(detaylarina bakacak olursaniz cok daha fazlasini yapiyor, basitinden bir NIDS gibi…)

man pf.conf’tan…

Traffic Normalization (e.g. scrub)
Traffic normalization protects internal machines against inconsis-
tencies in Internet protocols and implementations.

Nasil mi test ederiz? Nmap ve PF kullanarak sonuclari gorebilirsiniz…

1)ilk durumda scrub ozelligi devreye alinmamis bir Firewall ve nmap sonuclari; nokta atisi yapmis gibi sistemi bulabiliyor.

# nmap -O 1.2.3.4.90

Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-09-20 12:52 EEST
Interesting ports on 1.2.3.4.90:
(The 1667 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
MAC Address: 00:02:B4:18:8D:24 (Intel)
Device type: general purpose
Running: OpenBSD 3.X

Nmap finished: 1 IP address (1 host up) scanned in 19.866 seconds

2) ikinci durumda scrub ozelligi devreye alinmis bir Firewall’a ayni tarama yapiliyor ve sonuc;

# nmap -P0 -O 1.2.3.4.90

Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-09-20 12:54 EEST
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on 1.2.3.4.90:
(The 1667 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
MAC Address: 00:02:B4:18:8D:24 (Intel)
Device type: general purpose
Running: Novell NetWare 6.X, OpenBSD 3.X
OS details: Novell Netware 6 (no service packs), OpenBSD 3.3 x86 with pf “scrub in all”, OpenBSD 3.5 or 3.6

Nmap finished: 1 IP address (1 host up) scanned in 25.901 seconds