Log management, sim, siem -adina her ne demeyi tercih ediyorsaniz- ile ilgili bir alim sureciniz varsa http://www.beyazsapka.org/dergi.aspx?id=152 adresindeki ” Standartlar ve Güvenlik Açısından Log Yönetimi “ yazımı(site uyelik gerektirmektedir) okumanızı öneririm.
Ek olarak buradaki degerlendirme de seciminize dogru yonde degerlendirmenize yardımcı olacaktır
Ilk olarak Ngrep’in ismini burada zikretmistim fakat yaptigi is harici bir detay vermemistim. Bugun egitim notlarini guncellerken Ngrep ile ilgili eksikliklerin oldugunu gordum ve daha detayli yazim icin kollari sivadim. Buraya da egitime katilamayan fakat icerigini merak edenler icin kisa bir bolumunu ekliyorum.
grep komutu: UNIX/Linux sistemlerde text dosyalarla uğraşıyorsanız grep komutunun hayati önemini bilirsiniz. Mesela 100000 satirlik bir dosya icerisinde sayi ile baslayan satirlari ve bu satirlar icerisinde “passwd” stringi geçenleri bulmak icin grep komutu tek basina yeterli olacaktir.
Ya da web sunucunuzun ürettiği erişim logları arasında googlebot’un kaç kere sitenize uğradığını öğrenmek istiyorsanız basit bir grep komutu ve wc ile hesaplayabilirsiniz.
#grep googlebot /var/log/web_sunucu_erisimlogu|wc -l
Grep’in gücüne güç katan ise düzenli ifadelerle(regular expressions) birlikte kullanabilmemizdir.
Ngrep: grep benzeri bir yazılım fakat klasik dosyalarda değil de ağ trafiğinde arama/bulma işlemi yapar. Kısaca UNIX sistemlerin vazgecilmez aracı grep komutu’nun network trafiğine uyarlanmış versiyonudur diyebiliriz.
Ngrep ile Neler yapabiliriz?
Tamamen hayal dünyamızın genişliğine kalmış.
Mesela http portu üzerinden kullanılan SSH bağlantılarını ngrep ile keşfedebilirsiniz ya da sisteme bağlanan ve cleartext protokol kullanan tüm bilgileri kaydedip sahiplerine şifreli protokol kullanmaları için öneri de bulunabilirsiniz. Ya da tünelleme programlarını ortamda hiçbir IPS, Firewall vs ye ihtiyaç duymadan Ngrep ile yakalayabilirsiniz.Geçenlerde bir arkadaş ile konuşurken kendi şirketlerindeki SSL tünellemeleri ngrep aracılığı ile yakaladıklarından bahsediyordu. Read more »
Eskiden gazetelerin internet sayfalarindan kose yazilarini okurdum ve ulke gundemine dair onemli olaylari takip etmeye calisirdim. Soyle gecmise donup baktigimda bana cok da birsey katmadigini gordum ve bu zaman dilimini daha faydali gecirmeye karar kildim(Her alti ayda bir tekrar gazete okumaya basliyorum:)). Artik her sabah ise baslamadan 30-45 dakika guvenlik dunyasinda neler oluyor amacli gezinti yapiyorum. Gezintilerin cogu zamanini belirledigim yerli/yabanci bloglar olusturuyor.
Bunlar arasinda teknik icerigi bol olan ya da farkli bir ufuk acanlari ayri bir baslik altinda kendim de yazmaya calisiyorum fakat cogu zaman buna firsat bulamiyorum. Burada olmasında ve baskalarının da faydalanmasında yarar vardir diye dusunerek blogda yeni bir baslik actim. Vakit buldukca dikkatimi ceken, okunmasinda fayda gordugum linkleri aktaracagim. Bu tip link paylasimlari icin cesitli servisler var fakat simdilik bu sayfa uzerinden yapmayi dusunuyorum, ilerde yonetemeyecegim hale gelirse “aklin yolu bir”e donerim.
Q1 LABS ANNOUNCES FREE, DOWNLOADABLE, VIRTUAL APPLIANCE FOR LOG AND COMPLIANCE MANAGEMENT
Growing Network Security Management Company Offers Complimentary Version Of Its Popular QRadar SLIM Solution That Enables IT Professionals To Collect, Analyze, Report, and Store Event Logs http://www.q1labs.com/flashdemo/
Memory Forensic Acquisition and Analysis 101
Catching NTLM Hashes Like Pokemons!
http://code.google.com/p/squirtle/
Tags: Gunluk Linkler, Security
Icerik filtreleme programlarini atlatmanin(Ve engellemenin) binbir yolu var fakat bunlarin cogu sisteme bir program kurulmasini ya da programin calistirilmasini istiyor.
Bazen oyle durumlar olabiliyor ki bir sadece bir sayfanin icerigine bakip cikmak istiyorsunuz ama onunuzdeki zalim icerik filtreleme programi buna izin vermiyor.
Bu gibi durumlarda Google & Yahoo (ve benzeri arama motorlari)’nun sundugu bazi hizmetleri “kotu”ye kullanarak Icerik filtreleme programlarini bir asamaya kadar atlatabilirsiniz.
Yontem-1) Google ve Yahoo arama sayfasinda cikan sonuclarin Cache’lenmis halini kullaniciya gosterebiliyor. Bir sayfaya ulasamiyorsaniz o sayfayi google/yahoo’da aratin ve arama sonuclarinda “Cached” linkine tiklayarak o sayfanin Google/Yahoo tarafindan alinmis son kopyasini gezebilirsiniz.
Bu yontem cok nadir durumlarda ise yarayabilir.
Yontem-II) Google ve Yahoo’nun translator hizmetleri var. Bu hizmetlerle bir web sayfasini x dilinden Y diline cevirip gezebiliyorsunuz. Ozellikle bilgi iceren (?) cince sayfalari ingilizceye cevirip gezmesi cok faydali olabiliyor. Google/Yahoo’nun sundugu bu ozelliklerin guzel bir yani da icerik filtreleyiciler tarafindan bloklanmis bir sayfayi cevirici araciligi ile gezdirebilmesi.
Mesela www.metasploit.org sayfasi bloklanmis ve sizin asyfaya girmeniz gerekiyor. Hemen babelfish.yahoo.com ya da translate.google.com sayfasina girip http://www.metasploit.org sayfasini herhangi bir dilden Ingilizceye cevir diyoruz ve yasaklanmis sayfayi güncel hali ile gezebiliyoruz.
Not:Bu yontem Websense uzerinde denenmistir. URL filtering yapan programlarda calismayacaktir.
Ekte gorebileceginiz uzere Websense tarafindan bloklanan web sayfasi babelfish araciligi ile gezilebiliyor. Google’un translater hizmeti Websense tarafindan yakalaniyor.
Bu tip kacaklarin engellenmesini isterseniz piyasada bilinen translater hizmeti veren yerleri dogrudan bloklayabilirsiniz. Ya da url filtering cozumunu aktif ederek ilgili domainlerin url de gectigi zaman bloklanmasini saglayabilirsiniz.
2007 yılında önce dedikodularını duyduğumuz açıklanması ile birlikte de gerçekle yüzleştiğimiz bir kanun çıkarıldı: 5651 sayılı “Internet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” .
Aynı yıl içerisinde kanunun maddelerini daha anlaşılır hale getiren çeşitli yönetmelikler yayınlanarak yürürlüğe girdi.
Kanun, bugüne kadar internet ortamında sınırsız özgürlüğe sahip olan internet kullanıcıları tarafından sansür ve ” big brother” ekseninde düşünüldü.
Gerek kanun ve yönetmelik maddelerinin bir bilişimci için yeteri kadar açık olmaması gerek bilişim dünyası için kanun yazmanın zorlukları sebebi ile kanun Türkiye’de yeteri kadar anlaşılamadı ve uygulanamadı.
Bunda kanunun yaptırımlarının bilinmemesi ya da klasik bir anlayış olan “kabak patlayana kadar bekle”nin kanunun yeteri kadar yaygınlaşamamasında önemli olduğunu düşünüyorum. Mesela araç kullanırken ehliyeti yanınızda bulundurmak zorunludur fakat bir polis sizi kontrol edene kadar bu zorunluluk cezai bir isleme tabi tutulmaz.
Benzer şekilde 5651 uygulamayabilirsiniz fakat kanun ya da yönetmelik maddelerinden biri ile ilgili bir durum olduğunda basınız ciddi ağrıyabilir.
Bende hem kendi şirketim hem de dışarıda bu işi uygulamak isteyen fakat eksik kaynak ya da bilgiden dolayı uygulayamayan şirketler için kısa bir araştırma yaptım ve kesin olmasa da kanun/yönetmeliğin neyi nasıl istediğini çıkarmaya çalıştım. Kanun maddeleri arasındaki italik satırlar kişisel yorumlarımdır. Onun haricindeki tüm tekstler kanunla ilgili sorumlu kurum olan TİB’in sitesinden alınmıştır ve kaynaklar kısmından aynı bilgiler edinilebilir. Read more »
FreeBSD kurdugunuz DL380 G5 makineniz acilmiyorsa(Klavye takili oldugu halde hicbirsekilde tuslarin etkisi olmuyorsa) asagidakileri uygulamaniz cozum olacaktir.
Changed a setting in de P600 raidcontroller. Deleted the array and made it again with the option “Max Boot enabled 8gb” Reinstalled and it booted to the shell.
http://lists.freebsd.org/pipermail/freebsd-proliant/2007-March/000258.html
Not:Bundan 3-4 sene once basit pclere kurulum problemleri ile ugrasirdik. Simdilerde ise 8/16(GB) CPU/RAM li sistemler uzerine yapilan kurulumlarla ugrasiyoruz. FreeBSD ve acik kaynak kodlu sistemlerin hangi hizla ilerledigine iyi bir ornek aslinda.
2008 yilinda adini sıkca duydugumuz ve uzun bir sure daha tartismali bir sekilde duyacagimiz 5651 sayili kanun(internet aktivitelerini izleme ve zararlilarini engelleme vs..) gereksinimlerine gore kurum/firmalar internet kullanimi ile ilgili cesitli duzeyde loglama yapmakla yukumluler. Yukumlulukleri sadece loglama degil bu loglarin dogrulugunun saglanmasini da kapsiyor. Kanun maddeleri bu dogrulugu saglama isleminin nasil yapilacagi konusunda bize ipuclari veriyor. Mesela diyorki bu is icin Elektronik zaman damgası , kullanacaksiniz.
Elektronik Zaman Damgasi ne derseniz ; kisaca üzerine vurulan verinin o tarihte alındığı ve değiştirilmediğini kanıtlamak için kullanılan bir sayisal damga. Yani bir dosyanin x tarihinde sayisal imzasinin alindigi ve bu tarihten sonra bir degisiklige ugramadigini kanitlayan sistem .
Normal hash almaktan farki dosyanin x tarihinde alindigi bilgisinin saklanmasi. Mesela bir beyan vermek istiyorsunuz ve bu beyani sayisal imza kullanarak vereceksiniz ve verdiginiz beyanin tarihi onemli. Bu durumda sayisal zaman damgasi kullanarak hem beyan verdiginiz tarihi hem de beyanin iceriginin degistirilmedigini kanitlayabilirsiniz.
Sayisal Zaman Damgasi Nasil Olusturabilirim?
Bu soru icin kullandiginiz isletim sistemine gore iki farkli cevap cikacaktir. Eger Windows kullaniyorsaniz TIB’in bu islemler icin yazdigi bir yazilim var onu kullanabilirsiniz. Linux/UNIX kullaniyorsaniz OpenSSL’e bir patch gecerek benzeri islemleri yapabilirsiniz.(Piyasada bunu hizmet olarak veren cesitli firmalar da var. Ben burada bu isi ucretsiz nasil yapabilecegimizi anlatmaya calistim.)
Detay bilgi
Openssl ts komutu basitce TSA(zaman damgası otoritesi) işlemleri için kullanilabilir fakat piyasada bulunan Linux/UNIX sistemlerdeki OpenSSL surumlerinde ts destegi yoktur. www.opentsa.org’da yazdigina gore yeni surum OpenSSL’lerle birlikte gelecek. Isteyenler http://www.opentsa.org/ adresinden ilgili yamaları alarak openssl’e ts destegi ekleyebilir.
Kurulum
# cd
#mkdir openssl
#cd openssl/
#wget http://www.openssl.org/source/openssl-0.9.8c.tar.gz
#tar zxvf openssl-0.9.8c.tar.gz
#cd openssl-0.9.8c
#wget http://www.opentsa.org/ts/ts-20060923-0_9_8c-patch.gz
#gzip -cd ts-20060923-0_9_8c-patch.gz |patch -p1
#./config
# make
# make installYeni kurdugumuz openssl’in dosyaları /usr/local/ssl dizini altındadır.
#ls /usr/local/ssl/
Buradan ts komutları çalıştırılabilir
home-labs openssl-0.9.8c # /usr/local/ssl/bin/openssl ts
usage:
ts -query [-rand file:file:...] [-config configfile] [-data file_to_hash] [-digest digest_bytes][-md2|-md4|-md5|-sha|-sha1|-mdc2|-ripemd160] [-policy object_id] [-no_nonce] [-cert] [-in request.tsq] [-out request.tsq] [-text]
or
ts -reply [-config configfile] [-section tsa_section] [-queryfile request.tsq] [-passin password] [-signer tsa_cert.pem] [-inkey private_key.pem] [-chain certs_file.pem] [-policy object_id] [-in response.tsr] [-token_in] [-out response.tsr] [-token_out] [-text] [-engine id]
or
ts -verify [-data file_to_hash] [-digest digest_bytes] [-queryfile request.tsq] -in response.tsr [-token_in] -CApath ca_path -CAfile ca_file.pem -untrusted cert_file.pem
Nasıl işler?
TSA istemcisi veri dosyasının tek yönlü hash’ini alır ve TSA’ya gönderir.
TSA (zaman damgası otoritesi) gelen hash’i alır imzalar ve geri gönderir(time stamp token). Böylece TSA kendisine gelen hash’in x zamanındaki durumunu belgelendirir/onaylar.
TSA istemcisi gelen time stamp token’i alır ve dogrular, bu işlem aynı zamanda gelen jetonun hash’ini de kontrol eder.
Proxy amacli olarak Microsoft ISA Server ve NTLM Authentication kullanilan ortamlarda cogu internet uygulamasi calismaz. Bunun sebebi NTLM‘in Microsoft’a ozgun bir protokol olmasi ve klasik authentication mekanizmalarindan fazlasiyla karisik olmasi sebebi ile yazilimcilarin bu destegi vermek icin ugrasmamasi.
Mesela Websense ya da benzeri bir icerik filtreleme programini atlatmak icin Ultrasurf(Ultrasurf kullanip da icerik filtreleme programlarina takildigini dusunen arkadaslarin cogu aslinda ntlm auth ile karsilasiyor ve Ultrasurf’in ntlm auth destegi olmadigi icin calismiyor) kullanmaniz gerekirse ya da rapidshare’den toplu dosya indirmek icin Flashget benzeri programlari kullanmak isterseniz hep bu ntlm auth problemi ile karsilasirsiniz.
Bu tip ntlm auth. gerektiren durumlarda Python ile yazilmis NTLMAPS yazilimini tercih ederdim. NTLMAPS sizin uygulamaniz(standart proxy destegi olmali) ile NTLM auth isteyen proxy arasina girerek bir nevi kopruluk vazifesi gorur. Bugunlerde benzeri bir istek icin biraz daha performansli bir yazilima ihtiyac duydum ve Cntlm ile tanistim. Cntlm de NTLMAPS benzeri amaci NTLM Auth desteklemeyen uygulamalar icin kopruluk vazifesi goruyor ve refiki NTLMAPS’e gore cok daha iyi calisiyor.
Farklari ne diye merak ederseniz kisaca;
“Cntlm works similarly to NTLMAPS, but it’s lightning fast, has bucket load of new features (like proxy chaining or penetration) and none of its shortcomings and inefficiencies. It adds support for real keep-alive (on both sides) and it caches all authenticated connections for reuse in subsequent requests. It can be restarted without TIME_WAIT delay, uses just a fraction of memory compared to NTLMAPS and by orders of magnitude less CPU. Each thread is completely independent and one cannot block another. Cntlm has many security features like NTLMv2 support and password protection – it is possible to substitute password hashes (which can be obtained using -H) for the actual password or to enter the password just interactively. If plaintext password is used, it is automatically hashed during the startup and all its traces are removed from the process memory.”
Uzunca okumak icin de http://cntlm.awk.cz/ adresi yardimci olacaktir.
Benim kisisel tecrubem Cntlm’in cok daha sorunsuz calistigi ve performansinin kat kat iyi oldugu yonunde. Hem Linux hem de Windows ortamlarinda calistigini soylememe gerek yok:).
IBM Yazılım Zirvesi ’08 de yaptığım “Vodafone’da Güvenli Web Uygulama Geliştirme Deneyimleri” konulu konuşmanın sunum dosyasına aşağıdkai adresten erişilebilir.
Hosting firmaniz ne kadar guvenli diye bir soru sorsam sanirim buyuk bir cogunluk ya durumu bilmiyordur ya da guvensiz yanitini verecektir.
Benim kisisel tecrubem hosting firmalarinin genelde guvenlige onem vermedikleri. Bununla birlikte yurtdisindaki hosting firmalarinin fiyat/performans oraninda Turkiye’deki firmalara gore iyi oldugu yonunde(Turkiye’de de isini ciddiye alarak yapan iyi hosting firmalari oldugunu biliyorum).
Tabi bu iyilik guvenlikten ne anladigimiza gore degisir. Sistemlerin onune Firewall, wep application firewall ya da ips vs koyulmasi biraz luks kaciyor cogu firma icin. Oysa bu tip sistemlerin acik kaynak kodlu yazilimlar kullanilarak yapilsa o kadar cok maddi yatirim gerektirmedigini bilseler durum belki degisir. Her neyse amacim firmalarin boyle luks(!) guvenlik onlemlerini neden almadiklarini elestirmek degil, cok daha basitini veremeyenlere catmak. Evet hala birden fazla musterisini ayni ortama hicbir segmentasyon yapmadan koyan firmalar var… Bu da bir musterinin digerinin trafigini tamamen izleyebilmesi manasina geliyor. Hatirlarsaniz Metasploit’in ana sayfasi da benzeri bir eskiklikten hacklenmisti(defacement). Read more »
