Bilgi Güvenliği AKADEMİSİ özgür güvenlik yazılımlarına destek vermeye devam ediyor. bu amaçla Internet dünyasının en çok tercih edilen güvenlik duvarı yazılımlarından PfSense’in kurumsal iş ortamlarında etkin kullanımını amaçlayan iki günlük hızlandırılmış bir eğitim programı hazırladık(“PfSense güvenlik Duvarı Eğitimi”).
Eğitim içeriği ve detaylarına http://www.bga.com.tr/?page_id=1651 adresinden erişilebilir. Bu konudaki ilk eğitim 2011 yılında gerçekleştirilecektir.
Çalıştığım şirket için yüksek kapasiteli (~10Gbps) DDoS engelleme sistemi arayışımız vardı. Yaklaşık 7-8 aydır piyasadaki ürünleri test ediyordum. Son olarak geçtiğimiz ay ArborNetworks’ün DDoS engelleme ürününü detaylı test etme fırsatı buldum. Bu yazı testleri nasıl gerçekleştirdiğimiz ve sonuçlarına yönelik kısa bir değerlendirmeyi içermektedir.
Read more »
Geliştirmeye çalıştığımız DoS/DDoS engelleme sisteminin daha efektif çalışması için üzerine uğraştığımız konuların başında IP authentication geliyor(SYN authentication, HTTP authentication gibi ek protokoller de eklenebilir). “IP authentication”dan kastımız saldırı anında hangi ip adreslerinin gerçek hangilerinin sahte(spoof edilmiş) olduklarını belirlemek ve ona göre önlem almak. Read more »
Uzun zamandır karşılaştığımız DDOS saldırılarıyla ilgili birşeyler yazmıyorum. Başka işler vaktimi fazlasıyla aldığı için artık analiz yapmaya zamanım kalmıyor, eğer engelleyemediğimiz bir saldırıysa o zaman makine başına oturup analiz yapmak zorunda kalıyorum.
Son ayda üç ciddi(on civarı ciddi sayılmayacak) DDOS saldırısıyla karşılaştım. Bunlardan bir tanesi bir ülkenin internet trafiğinin 3-4 gün boyunca %60 seviyesinde kayıpla çalışmasına sebeb olacak derecede yüksekti.
Saldırılarda ortak tek nokta trafik miktarlarının çok yüksek olmadığı(yani saldırı yapılan firmanın bandwith miktarından daha düşük seviyede). Tüm saldırılar 50-600 Mb civarında değişiyordu.
Yine DDOS engelleme sistemi kurduğumuz bir müşteriden gelen şikayet üzerine sisteme girdiğimde birilerinin sistemi yıkmak için ciddi bir saldırı düzenlediğini gördüm. Saldırıda DDOS engelleme sistemi tarafından yakalanan ve engellenen gerçek IP sayısı 7500, spoofed ip sayısı milyonlarcaydı. Bu da bana saldırının ortalama 7500 sistemden geldiğine dair ipucu verdi(saldırı yapanlar syn flooddan tutun, GET flood, ACK flood herşeyi deniyorlardı).
7500 sistemlik bir botnet de ciddi saldırı yapılır mı diyebilirsiniz. Bu durumda 2007′de Root DNS’lere yapılan DDOS saldırısının 4500 zombi ile yapıldığını hatırlatalım.
Türkiye zombi bilgisayar pazarında ciddi oyunculardan:).
Meraklısına not: DDOS saldırısında kullanılan IP adreslerinin %90 TTNet abonesi ve ilgili firmaya bu abonelerin IP adreslerini ulaştırmıştım.
“Özgür Yazılım ve Linux Günleri” kapsamında verdiğim Özgür yazılımlarla DDOS engelleme sunum dosyasına http://www.guvenlikegitimleri.com/calismalar/opensource-ddos-engelleme.pdf adresten erişilebilir.
Sunumla ilgili yorumlarınızı huzeyfe@lifeoverip.net adresine gönderebilirsiniz.
2-3 Nisan 2010 tarihlerinde İstanbul Bilgi Üniversitesi’nde gerçekleştirilecek “Özgür yazılım ve Linux günleri” kapsamında Özgür yazılımlarla DDOS Saldırıları Engelleme konulu bir sunum vereceğim.
Sunum OpenBSD ve Snort ikilisi kullanılarak saldırıları engelleme (Neden OpenBSD diye soranları sunuma bekleriz) ve benim son 2-3 yılda yaşadığım saldırılar ve analizlerinden edindiğim tecrübeleri içerecek. (15:30-16:20 saatleri arası).
Programın tamamına http://www.ozguryazilimgunleri.org/program_tmp.html adresinden erişilebilir.
En sık karşılaşılan ve genel olarak teknik detayı tam bilinmediği için şehir efsanesine dönmüş Syn Flood DDOS saldırılarıyla ilgili bir yazı hazırladım. Konuya ilgi duyanlar http://www.guvenlikegitimleri.com/new/calismalar/synflood.pdf adresinden erişip okuyabilirler.
Yazının fazla uzamasından dolayı bazı detaylara fazlasıyla yer veremedim, başka bir yazıda değinilmeyen detayları da yazmaya çalışacağım.
Ailemizin en güvenli işletim sistemi OpenBSD’nin 4.6 sürümü çıktı. Detaylara buradan ulaşılabilir. 4.6 sürümünün beni en fazla ilgilendiren bölümü ise yine Packet Filter’da yapılan değişiklikler.
pf(4) improvements:
- Enabled pf(4) by default in the rc.conf(8).
- Removed pf(4) scrub rules, and only do one kind of packet reassembly. Rulesets with scrub rules need to be modified because of this.
- Regular rules can now have per-rule scrub options.
- Added new “match” keyword which only applies rule options but does not change the current pass/block state.
- Make all pf(4) operations transactional to improve atomicity of reloads.
- Stricter pf(4) checking for ICMP and ICMPv6 packets.
- Various improvements to pfsync(4) to lower sync traffic bandwidth and optionally allow active-active firewall setups.
- Fix pf(4) scrub max-mss for IPv6 traffic.
Arada iki önemli sürüm çıkardılar ama eskisi gibi hızlı takip edemediğim için yazamadım. Bugun biraz boş vakit bulup her iki sistemi de indirdim. Yakın zamanda bu sistemlerin yüksek performanslarına çok ihtiyacım olacak. Şimdiden testlerine başlıyorum… Test yaptıkça buraya da eklemeye çalışacağım. İlk testin ipuçlarını da vereyim: 500~Mb trafik altında Snort nasıl davranıyor. Bu kadar trafik için ne kadarlık bir donanım yeterli olur.
FreeBSD 7.2 ile birlikte gelen dikkat çekici yenilikler:
* support for fully transparent use of superpages for application memory
* support for multiple IPv4 and IPv6 addresses for jails
* csup(1) now supports CVSMode to fetch a complete CVS repository
* Gnome updated to 2.26, KDE updated to 4.2.2
* sparc64 now supports UltraSparc-III processors
Diğer tüm yenilikler için http://www.FreeBSD.org/releases/7.2R/relnotes.html
OpenBSD 4.5 ile birlikte gelen yenilikler için http://www.openbsd.org/45.html#new
2008 yılındaKıbrıs’ta yapılan ve talihsiz bir sekilde katilamadigim AĞ VE BİLGİ GÜVENLİĞİ ULUSAL SEMPOZYUMU’nda sunulan bildirilerden biri dikkatimi cekmisti . Konu: “AÇIK KAYNAK KODLU YAZILIM TABANLI FİREWALLARIN PERFORMANS DEĞERLENDİRMESİ” . Uzun zamandır belgeyi Devrim Seral’dan izin alıp yayınlamak istiyordum. Tembelligime kaldıgından gecikti ben de sene-i devriyesinde bari yayınlayayım da bu güzel çalışma sadece etkinliğe katılanlara değil herkese faydalı olsun istedim. Çalışmaya buradan erişebilirsiniz.
