Siz de Windows’un konsolu(cmd) ile fazla hazir nesir oluyorsaniz ve sagladigi ozelliklerin( boyutunu istediginiz gibi ayarlamak, birden fazla konsolu tabli bir sekilde kullanmak vs gibi) yetmedigini dusunuyorsaniz Console ‘u denemenizi oneririm.
Temeli Syslog’a dayali bir Log toplama ve korelasyon cihazini test ederken sistemin kapasitesini/performansini olcme amacli olarak bir Syslog generatore ihtiyacim oldu. Istegime uygun araci ararken Kiwi’nin Syslog generator’i ile karsilastim. Tam de benim isteklerimi karsilar tipdeydi.
Arac istenilen sayida(tek seferde 500 syslog mesaji gibi), ve cesitte Syslog mesajlari uretme kapasite sahip. Uretilen syslog(TCP ya da UDP ) mesajlarini isterseniz rfc uyumlu/uyumsuz , rastgele oncelikli seklinde ayarlayabiliyorsunuz.
WordPress 2.1.3 kullanicilarinin dikkatine…
Bir iki gundur bloguma gelen web isteklerindeki anormallikleri incelerken iki gun oncesine ait bir WP aciginin kullanildigini kesfettim.
wp-admin/admin-ajax.php ve buna bagli olan scriptlerdeki eksik kontroller yuzunden blogunuzun /wp-admin kismina erisebilen kotu niyetli birisi sistemdeki wp kullanicilarina ait plain md5 ciktilarini alabilir(kendi sistemimde test ettim) ve otesinde bunu kullanarak sisteme admin yetkileri ile baglanilabiliyor(mus)-test etmedim.
Cesitli undergorund sitelerde konu ile ilgili exploitler yayinlanmis durumda.
Aciktan korunma icin WP tarafindan cikarilan guncellemeler(2.2) gecilebilir.
Detayli Bilgi : http://secunia.com/advisories/25345/
webalizer’in bir gunluk sonuclarindaki admin-ajax.php hit sayisi:)
Son zamanlarda edindigim iki kotu aliskanlik: gelen maillerin baslik bilgilerini okumak:), digeri de bulabildigim tum network/guvenlik cihazlarini, yazilimlarini dayaniklilik testine tutmak.
Bugun ikincisinden biraz bahsedecegim, ilki ile ilgili biraz detayli bir belge hazirladim. gozden gecirdikten sorna yayinlayacagim.
Cihazlari test ederken genelde dos/ddos tarzi durumlarda nasil davrandigini olcuyorum. Bunun icin de isic(IP stack integrity checker)’i tercih ediyorum. Oldukca basit mantikla tasarlanmis olmasi ve kullaniminin basit olmasi tercih sebeplerimden.. (Minimum karmasiklik, maksimum verim misali).
Read more…
Hizli cozum;
#kldload bridge.ko
#kldload if_bridge
kldstat ciktisina bakarak modullerin yuklenip yuklenmedigi kontrol edilebilir.
Moduler olarak degil de cekirdege statik olarak eklemek istersek asagidaki islemler yapilmalidir.
#cd /sys/i386/conf
#cp GENERIC BRIDGE
#vi BRIDGE
options BRIDGE
:wq
#config BRD
#cd ../compile/BRD/
#make depend
#make
#make install
sonrasinda
bridge’e eklenecek arabirimler secilir
Benim bridge icin kullanacagim arabirimler fxp0 ve fxp1.
#ifconfig bridge0 create
#ifconfig bridge0 addm fxp0 addm fxp1 up
(Bridge arabirimini kapamak icin)
#ifconfig bridge0 destroy
Ayarlarin kalici olmasini saglamak icin /etc/rc.conf’a asagidaki tanimlar girilmelidir.
ifconfig_fxp0=”up”
ifconfig_fxp1=”up”
cloned_interfaces=”bridge0″
ifconfig_bridge0=”addm fxp0 stp fxp0 addm fxp1 stp fxp1 up”
Amacimiz kullandigimiz ADSL baglantisinda bir sorun oldugunda IP adresi degisirse bunu otomatik olarak algilayarak dns guncellemesi yapmak. Burada anlatilan yontem ADSL modemin bridge olarak calistirilip IP adresini arkadaki UNIX/Linux makinenin aldigi varsayilarak yapilmistir.
Modem bridge modda degilse ipcheck’in sundugu diger parametreler kullanilarak yine statik bir domain ismi ile erisim salanabilir. ipcheck -h komutu ile kullanilabilecek diger secenekler incelenebilir.
Ipcheck Kurulumu
Free/OpenBSD icin port agacindan ya da pkg_add ile kurulum yapilabilir. Benim sistemim OpenBSD oldugu icin pkg_add tercih ediyorum.
# pkg_add -v ipcheck
parsing ipcheck-0.207p0
Dependencies for ipcheck-0.207p0 resolve to: python-2.4.3p0
Error from ftp://ftp.tr.freebsd.org/pub/OpenBSD/4.0/packages/i386/:******************| 100%
ipcheck-0.207p0: complete
# mkdir /etc/ipcheck
ilk calistirmada –makedat secenegininde kullanilmasi gerekiyor.
# ipcheck.py -q -i tun0 -d /etc/ipcheck –makedat -w user pass honeynet.homeunix.net
ipcheck.py: ip1 looking up honeynet.homeunix.net
ipcheck.py: result: ‘honeynet.homeunix.net’[]['88.234.94.221'
Bundan sonraki calistirmalarda --makedat kullanilmasina gerek yoktur. Asagidaki gibi bir komut isinizi gorecektir.
#ipcheck.py -q -i tun0 -d /etc/ipcheck -w kullanici_Adi parola honeynet.homeunix.net
PPP Baglantisi yenilendiginde DNS Guncellenmesinin saglanmasi
#vi /usr/local/bin/ddns.sh
#!/bin/sh
/usr/local/bin/ipcheck.py -q -d /etc/ipcheck -i tun0 -w kullanici parola honeynet.homeunix.net
olusturdugumuz bu scripti ppp baglantilarinin baslangicta kontrol ettigi dosya olan ppp.linkup’a ekleyerek her ppp baglantisinda dns guncellemesi yapilmis olur.
!bg sh -c “/usr/local/bin/ddns.sh”
#cat /etc/ppp/ppp.linkup
MYADDR:
! sh -c “/sbin/pfctl -e -f /etc/pf.conf”
!bg sh -c “/usr/local/bin/ddns.sh”
Not: Programin islevsel olmasi icin ppp -ddial kullanilmasi lazim.(-ddial ile ppp baglantisinda problem oldugunda otomatik yeniden baglanma gerceklesir.
Snort’a Inline IPS ozelligi katan snort_inline projesi sadece Linux ve FreeBSD IPFW icin calisiyordu. OpenBSD icin bir yama olsa da sadece eski surumleri destekliyor ve cok stabil degilidi. Gecenlerde PQ(Userspace Packet Queueing)’nun OpenBSD 4.0 surumunu destekleyen son surumu cikti. Son surumle birlikte bayagi bir duzeltme geliyor, henuz deneme firsatim olmadi ama en kisa zamanda test makinesinde deneyip sonuclarini yayinlamayi dusunuyorum..
Detay Bilgi: http://www.openbeer.it/?open=pq
Konusu gecmisken Snortsam, flexresp gibi sistemlerin IPS ozelligi degil, active response ozelliginde oldugunu tekrar belirteyim. Bircok ortamda snort’u IPS diye kullanan arkadaslarin snortsam kullandigini gormek garibime gidiyor. Active response ile Inline IPs farkini ogrenmek icin bu Cuma akademik Bilisimde verecegim “Acik kod trafik analiz araclari ve IDS/IPS Sistemler ” konulu sunuma beklerim.
Web uygulama Guvenligi Penetrasyon Test Rehberi 2007 yayinlandi. 200~civari sayfa sayisina sahip, henuz inceleme firsati bulamadim ama icerigi oldukca zengin gozukuyor.
Bridge modda(2. katman) calistirdigimiz sitemlerde ayni zamanda NAT yapma ihtiyaci hissettigimiz durumlar oluyor(bu ozellik bircok ticari urun icin hala hayal:)).
Bu tip durumlarda bridge calisma mantigi ve NAT’in calisma mantigi cakistigi icin ayni makinede hem transparan bridge hem de nat calistiramiyorduk..
Konuya baliklama dalmadan kisa bir arastirma yaptim ve PF gelistiricisi Daniel Hartmeier’in konu ile ilgili 2002 yilinda gonderdigi maile rastladim. Mail durumu teknik olarak oldukca iyi aciklamis..
http://marc.theaimsgroup.com/?l=openbsd-misc&m=101814255119388&w=2
Kisaca, eger bridge’e uye arabirimlere ip atarsak ve ip_forwarding aktif olursa bridge modda nat yapilabilir yoksa yapilamaz..
Guvenlik dunyasinin son 4 yilina bakinca urunlerin cogunun artik sadece yazilim tabanli olmaktan cikip kutuya(Appliance)’a girdigini goruyoruz. Ilk zamanlar buna alisamasamda(herseyi Linux/BSD tabanli sistemlerle halledebildigimiz icin) sonralari yonettigim sistemlerin sayisinin artmasi ile Appliance fikrine sicak bakmaya basladim, sonra tamamek kaptirdim kendimi:). Velhasil lafi uzatmadan bir dergide(Information Security) gordugum reklamin bana hitap eden -Neden Appliance tarzi urun- kismini alintiliyorum.
Recent Comments