Ag cihazlarinda tek yonlu filtreleme ise yarar mi?

Aglar arasi filtreleme kurallari, erisim kontrol listelerini yazaken kurallari cift yonlu yazmaya dikkat etmek gerekir. Birinden digerine ag uzerinden dosya kopyalamaya calistigim iki farkli agda karsilastigim garip bir durum ve sonuclari…
ikiag.jpg
Dedigim gibi amacim iki ag arasinda dosya kopyalamakti fakat bir turlu muvaffak olamiyordum. Onceleri iki ag arasinda filtrelemenin yapildigini dusunmeden problemi baska yerlerde ariyordum ki iki ag arasinda ACL’lerin oldugu ve erişimin özellikle yasaklandığı bilgisini aldım… Inat bu ya kendim deneyip göreceğim.. Halbuki iki bilgisayar yanyana, basit bit usb disk kullanarak istedigim veriyi aktarabilecek durumdayim.

Denemelerim sonrası aslında durumun denildiği gibi olmadığını gördüm:)

Iki ag arasinda filtreleme yapilmis fakat X agindan Y agina giden paketlere izin var gelen paketlere izin yok… Normal durumda kabul edilebilir(?) bir yapı gibi gözüküyor zira TCP protokolunun çalışabilmesi için çift yönlü trafik akışı olmalı(ACK paketleri, PUSH sonrası dönen veri vs), fakat protokol dünyamızda UDP denen ve tek atışla hedefi vurabileceğimiz bir protokol ve Nc(netcat) gibi güçlü bir silah var.

Y aginda bulunan Linux makinemde nc(netcat)’i udp modda calistirarak gelen verileri bir dosyaya yazdirdim, X agindaki makinemden de bu udp portuna baglanarak veriyi gönderdim ve verilerim saglam bir sekilde bir agdan digerine ulaştı..

Benzer şekilde dönen cevaplari görmeden Linux makineye komut gönderip işlemesini sağlayabiliriz..
Nc’deki -e  parametresini bu amaçla kullanıyoruz fakar udp modda nazlandı çalışmadı(tcp modda çalışıyor yani -e desteği var), neyse sorun varsa cozumude vardir elbet diyerek alternatif yollari dusunurken nc’e gelen verileri | ile istedigim bir shell’e yonlendirebilecegim aklima geldi ve nc -u -l -p 3000|/bin/bash yazarak amacıma ulaştım..

Burdaki ornek belki problemin ciddiyetini göstermek için hafif kalır ama hedef sistemler uzerinde udp uzerinden calisan bir servis varsa ve gunun birinde bu servisde bir acik cikarsa(gecmiste orneklerini yasadik)çok ciddi sorunlara da yol açabilir…

Neyse efenim sonuc olarak ACL yazilacaksa çift tarafli yazilmali:)

This entry was posted in Firewalls, Network Security. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

three × 3 =