Bilgi Güvenliği AKADEMİSİ özgür güvenlik yazılımlarına destek vermeye devam ediyor. bu amaçla Internet dünyasının en çok tercih edilen güvenlik duvarı yazılımlarından PfSense’in kurumsal iş ortamlarında etkin kullanımını amaçlayan iki günlük hızlandırılmış bir eğitim programı hazırladık(“PfSense güvenlik Duvarı Eğitimi”).

Eğitim içeriği ve detaylarına http://www.bga.com.tr/?page_id=1651 adresinden erişilebilir. Bu konudaki ilk eğitim 2011 yılında gerçekleştirilecektir.

The post BGA’dan PfSense Güvenlik Duvarı Eğitimi first appeared on Complexity is the enemy of Security.

Çalıştığım şirket için yüksek kapasiteli (~10Gbps) DDoS engelleme sistemi arayışımız vardı. Yaklaşık 7-8 aydır piyasadaki ürünleri test ediyordum. Son olarak geçtiğimiz ay ArborNetworks’ün DDoS engelleme ürününü detaylı test etme fırsatı buldum. Bu yazı testleri nasıl gerçekleştirdiğimiz ve sonuçlarına yönelik kısa bir değerlendirmeyi içermektedir.

Üst not: Test sonuçları kötü çıkmış olsaydı muhtemelen bu yazıyı yayınlamayacaktım. Zira daha önce aynı ürünü Türkiye’de test etmiştim ve iki dakika içerisinde sistem dağılmıştı, sonradan anlaşıldı ki ürünü yapılandıran arkadaşlar sistemi iyi tanımıyormuş.

Aşağıda okuyacaklarınız ürünün ana geliştiricilerinin çalıştığı ofiste tüm mühendis ve geliştiricilerinin de müdahil olduğu bir ortamda gerçekleştirilmiştir.(Hatta geliştiricilerden birisi de Türkiye’den bir arkadaşmış, onu da öğrenmiş olduk)

Özet: Arbor’ın  DDoS engelleme çözümü test ettiğim ürünler arasında “DDoS engelleme konusunda”  en başarılısı çıktı. Ve benim de bu piyasadaki gönül rahatlığıyla önerebildiğim nadir ürünlerden birisi oldu.

Test amacı: 3-4 Gb DDoS ataklarına karşı  sistemlere herhangi bir yük bindirmeden çalışabilecek ve ek bir müdahele gerektirmeden  devreye girip, normal bağlantıları engellemeden çalışabilecek (false positive=~0), yönetimi kolay, raporlaması sağlıklı çalışan bir sistem arayışı.

Test ortamı:

Yukarıdaki  basit çizim dış taraftan bakıldığında test ortamının basit görüntüsü. Asıl test ortamı çok daha karışık  tasarlanmıştı.

Testler 3 adet Linux sistem kullanılarak gerçekleştirildi. Her bir Linux sistem Gigabit ethernet kartına sahip ve ortalama 800Mbps trafik üretebilecek şekilde yapılandırılmıştı.

Kullanılan araçlar: Hping, Netstress V.09, isic, juno ve çeşitli perl scriptleri

Gerçekleştirilen testler:Internet ortamında en sık rastlanan flood saldırılarının tamamaı denenmiştir. Test ortamı internete açık olmadığı için bazı saldırı testleri gerçek ortamda denenmek üzere ertelenmiştir.

Test sonuçları ve yorumlar: Tasarlanan test süredi 5 gün olmasına rağmen 3.5 gün gibi kısa bir sürede tüm testler başarıyla tamamlandı. Testlerin ilk iki günü sistemin yapılandırılması ve genel aksaklıklarla geçti, bu da ürünün yapılandırılmasının aslında ürün kabiliyetleri kadar önemli olduğunu göstermeye yetmişti. İki güne kadar yapılan testlerde en ilginç zaman dilimi  1Gb basılan trafiğin sisteme ulaştığında 5Gbps’e yükseldiğini görmekti. Basit bir yapılandırma hatası normal trafiğin bile DoS’a dönüşmesini sağlayabiliyor.

İki gün sonunda Arbor mühendisleri,geliştiricileri devreye girerek test ortamındaki hataları tamamen düzelttiler. Bu saatten sonra yaptığımız tüm testleri başarıyla tamamlayan Arbor “helal olsun koçum” sertifikasını almaya hak kazandı:). Özellikle UDP ve DNS flood saldırılarına karşı geliştirdikleri özgün çözümler mühendisliğin(klasik bilgisayar vs mühendisliği kastedilmemiştir) nerelerde işe yarayabileceğini gösterme açısında oldukça ilginçti.

Eksiler: Sistemin HTTP GEt flood vs saldırılarda daha önceden bir eşik değeri belirleme zorunluluğu ürünün zayıf taraflarından. Bu işlemi trafiği belirli dönem dinleyerek kendisinin otomatik yapması(ki çok zor bir işlem, false positive düşmeden yapabilmek) beklerdim. Saldırı esnasında sisteme ait performans değerlerini göstermemesi ciddi bir eksiklik. Bununla birlikte Netflow destekli kullanıyorsanız sadece trafik başlıklarına göre işlem yapabiliyorsunuz(bu tip ürünlerin genel dezavantajı). Inline modda kullanacak olursanız paket başlıklarının ötesinde içeriğe göre de DDoS engelleme yapabiliyor.

Artılar: Yüksek trafiklerde paket kaçırmadan saldırıları engellemesi, normal trafiğe dokunmaması. BGP off-ramp çalışabilme özelliğiyle ISP’de konumlandırılarak trafiğin size daha ulaşmadan kaynağına en yakın yerde kesilmesi. Portspan, Inline çalışabilmesi.

Sonuç: Arbor alternatif ürünlere oranla daha basit bir yapıya sahip ve gücünü de bu basitlikten alıyor. Belirli tip saldırıları engelleme için eşik değerleri girdirilmesi gibi manuel müdaheleler dışında diğer tüm özellikleri otomatik olarak devreye girip sağlıklı çalışıyor. Firmanın sadece bu işe dedike olması da oldukça önemli. Fakat üründen daha önemli olan şey ürünün yapılandırılması ve ürünü yönetecek kişilerin bilgi seviyesi. Türkiye’de de bazı firmaların Arbor çözümü sattıklarını duyuyorum, bu konuda müşteri olacaklara tavsiyem mutlaka ve mutlaka alacakları hizmeti önceden test ettirmeleri. Testleri de  satıcı firmadan bağımsız birilerine yaptırmaları.

Lab ortamımız:

Sınırları zorlamaya başlarken…

Tek bilgisayardan ~900Mbps trafik basarken:

The post Arbor DDoS Testleri first appeared on Complexity is the enemy of Security.

Geliştirmeye çalıştığımız DoS/DDoS engelleme sisteminin daha efektif çalışması için üzerine uğraştığımız konuların başında IP authentication geliyor(SYN authentication, HTTP authentication gibi ek protokoller de eklenebilir). “IP authentication”dan kastımız saldırı anında hangi ip adreslerinin gerçek hangilerinin sahte(spoof edilmiş) olduklarını belirlemek ve ona göre önlem almak.

Piyasada bulunan birçok IPS/DDoS engelleme sisteminde IP authentication kısmı sağlıklı çalışmıyor, basit bir iki numarayla bu sistemler devre dışı bırakılabiliyor(bkz: Güvenlik sistemlerini atlatma). Eğer saldırı anında hangi ip adresi gerçek hangisi değil kesin olarak belirlenebilirse saldırılara karşı koruma almak o ölçüde kolaylaşır.

Transport katmanında TCP kullanan uygulamalarda Ip authentication işini yapabiliyoruz fakat UDP kullanan uygulamalarda o kadar kolay olmuyor. Tam yaptık dediğimiz anda denediğimiz alternatif bir saldırı yöntemi hevesimizi kursağımızda bırakıyor. IP adreslerinin gerçek olup olmadığını netleştirdikten sonraki adım gelen saldırılarda tek tek ip adresi saymak yerine aynı ip bloğundan belirli sayının üstünde trafik gelirse ve sistem zor durumdaysa tek tek ip adresi engellemek yerine komple CIDR engellemek daha az maliyetli olur mantığından yola çıkarak piyasada bu işi yapan örnekleri inceledik.

Ticari olarak bu mantığı iyi oturtmuş ama ip authentication işlevini yerine getiremeyen bir iki örnek inceledim, Aguri de bu işi pasif olarak yapan ve saldırı anında trafiğin karekteristiğini çıkarmaya yardımcı olan bir araç. Tam istediğimizi yapmıyor ama örnek alma açısından iyi bir yazılım. Açık kod sistemlerle DDoS analizi yapmak isteyenler için de kullanışlı bir araç.

[root@S-Guard17 ~]#  aguri -i em0 -4 -s 50 -xds -t 30
packet filter: using device em0
bpf buffer size is …

%!AGURI-1.0
%%StartTime: Mon May 03 20:39:10 2010 (2010/05/03 20:39:10)
%%EndTime:   Mon May 03 20:40:00 2010 (2010/05/03 20:40:00)
%AvgRate: 13.46Mbps
%201748 packets received by filter
%0 packets dropped by kernel

[src address] 84145213 (100.00%)
0.0.0.0/0       786034 (0.93%/100.00%)
78.160.0.0/11     4537009 (5.39%/5.39%)
84.0.0.0/6   2559991 (3.04%/3.04%)
88.224.0.0/11     3331406 (3.96%/3.96%)
93.187.207.182  4535276 (5.39%)
94.0.0.0/7  2568689 (3.05%/3.05%)
128.0.0.0/1    3315678 (3.94%/78.23%)
212.98.228.73   3659092 (4.35%)
212.98.228.246  50994825 (60.60%)
212.98.243.10   7857213 (9.34%)
%LRU hits: 99.76% (141206/141539)  reclaimed: 158

[dst address] 84145213 (100.00%)
0.0.0.0/0       1976582 (2.35%/100.00%)
78.160.0.0/12     3974013 (4.72%/11.97%)
78.160.0.0/14    3342516 (3.97%/3.97%)
78.172.0.0/15   2754252 (3.27%/3.27%)
78.176.0.0/13    3124193 (3.71%/3.71%)
78.184.0.0/13    2617611 (3.11%/3.11%)
80.0.0.0/5   2914573 (3.46%/11.17%)
85.96.0.0/13     3472237 (4.13%/4.13%)
85.104.0.0/14    3015422 (3.58%/3.58%)
88.224.0.0/11     4336258 (5.15%/13.17%)
88.228.0.0/14    3148430 (3.74%/3.74%)
88.248.0.0/13    3598513 (4.28%/4.28%)
92.0.0.0/6   4815378 (5.72%/9.85%)
94.0.0.0/9 3475789 (4.13%/4.13%)
188.0.0.0/8 2663329 (3.17%/3.17%)
208.0.0.0/4   2653405 (3.15%/41.50%)
212.98.228.73   8786871 (10.44%)
212.98.228.246  18481471 (21.96%)
212.98.243.10   4994370 (5.94%)
%LRU hits: 99.81% (141266/141539)  reclaimed: 38

The post DDoS Saldırılarında Spoof Edilmiş IP Adresleri ve İstatistiksel DDoS Analiz Aracı:Aguri first appeared on Complexity is the enemy of Security.

Saldırılarda ortak tek nokta trafik miktarlarının çok yüksek olmadığı(yani saldırı yapılan firmanın bandwith miktarından daha düşük seviyede). Tüm saldırılar 50-600 Mb civarında değişiyordu.
Yine DDOS engelleme sistemi kurduğumuz bir müşteriden gelen şikayet üzerine sisteme girdiğimde birilerinin sistemi yıkmak için ciddi bir saldırı düzenlediğini gördüm. Saldırıda DDOS engelleme sistemi tarafından yakalanan ve engellenen gerçek IP sayısı 7500, spoofed ip sayısı milyonlarcaydı.  Bu da bana saldırının ortalama 7500 sistemden geldiğine dair ipucu verdi(saldırı yapanlar syn flooddan tutun, GET flood, ACK flood herşeyi deniyorlardı).

7500 sistemlik bir botnet de ciddi saldırı yapılır mı diyebilirsiniz. Bu durumda 2007’de Root DNS’lere yapılan DDOS saldırısının 4500 zombi ile yapıldığını hatırlatalım.

Türkiye zombi bilgisayar pazarında ciddi oyunculardan:).

Meraklısına not: DDOS saldırısında kullanılan IP adreslerinin %90 TTNet abonesi ve ilgili firmaya bu abonelerin IP adreslerini ulaştırmıştım.

The post Basit DDOS Analizi ve Türkiye’deki zombi bilgisayarlar first appeared on Complexity is the enemy of Security.

Sunumla ilgili yorumlarınızı [email protected] adresine gönderebilirsiniz.

The post Özgür yazılımlarla DDOS engelleme sunum dosyası first appeared on Complexity is the enemy of Security.

2-3 Nisan 2010 tarihlerinde İstanbul Bilgi Üniversitesi’nde gerçekleştirilecek “Özgür  yazılım ve Linux günleri” kapsamında Özgür yazılımlarla DDOS Saldırıları Engelleme konulu bir sunum vereceğim.

Sunum OpenBSD ve Snort ikilisi kullanılarak saldırıları engelleme (Neden OpenBSD  diye soranları sunuma bekleriz) ve benim son 2-3 yılda yaşadığım saldırılar ve analizlerinden edindiğim tecrübeleri içerecek. (15:30-16:20 saatleri arası).

Programın tamamına http://www.ozguryazilimgunleri.org/program_tmp.html adresinden erişilebilir.

The post [Sunum]Özgür Yazılımlarla DOS/DDOS Saldırıları Engelleme first appeared on Complexity is the enemy of Security.

Yazının fazla uzamasından dolayı bazı detaylara fazlasıyla yer veremedim, başka bir yazıda değinilmeyen detayları da yazmaya çalışacağım.

The post [Makale] SYNFlood saldırıları ve korunma yolları first appeared on Complexity is the enemy of Security.

Ailemizin en güvenli işletim sistemi OpenBSD’nin 4.6 sürümü çıktı. Detaylara buradan ulaşılabilir. 4.6 sürümünün beni en fazla ilgilendiren bölümü ise yine Packet Filter’da yapılan değişiklikler.

pf(4) improvements:

• Enabled pf(4) by default in the rc.conf(8).
• Removed pf(4) scrub rules, and only do one kind of packet reassembly. Rulesets with scrub rules need to be modified because of this.
• Regular rules can now have per-rule scrub options.
• Added new “match” keyword which only applies rule options but does not change the current pass/block state.
• Make all pf(4) operations transactional to improve atomicity of reloads.
• Stricter pf(4) checking for ICMP and ICMPv6 packets.
• Various improvements to pfsync(4) to lower sync traffic bandwidth and optionally allow active-active firewall setups.
• Fix pf(4) scrub max-mss for IPv6 traffic.

The post OpenBSD 4.6 çıktı first appeared on Complexity is the enemy of Security.

 
FreeBSD 7.2 ile birlikte gelen dikkat çekici yenilikler:
    *      support for fully transparent use of superpages for application memory
    *      support for multiple IPv4 and IPv6 addresses for jails
    *      csup(1) now supports CVSMode to fetch a complete CVS repository
    *      Gnome updated to 2.26, KDE updated to 4.2.2
    *      sparc64 now supports UltraSparc-III processors

Diğer tüm yenilikler için http://www.FreeBSD.org/releases/7.2R/relnotes.html
OpenBSD 4.5 ile birlikte gelen yenilikler için http://www.openbsd.org/45.html#new

The post FreeBSD 7.2 & OpenBSD 4.5 first appeared on Complexity is the enemy of Security.

The post Acik Kaynak Güvenlik Duvarlari Performans Degerlendirmesi first appeared on Complexity is the enemy of Security.