19-20 Mart 2011 tarihlerinde hızlandırılmış pfSense eğitimi düzenlenecektir. Türkiye’de alanında ilk olan bu eğitimde klasik pfSense özelliklerinin yanında pfSense’in kurumsal ortamlarda kullanılması için gerekli bileşenlerin sisteme eklenmesi, yönetilmesi ve arabirimden yapılamayan özelleştirmelere değinilecektir.

pfSense Güvenlik Duvarı eğitimine kayıt olmak için lütfen [email protected] adresine e-posta gönderin.

Eğitim Tanımı:

Bilgi güvenliğinin en önemli bileşenlerinden biri sınır güvenliğidir. Sınır güvenliği denildiğinde akla gelen ilk bileşenler güvenlik duvarı(firewall), saldırı engelleme sistemi(IPS), VPN ve içerik filtreleme sistemleridir.

Internet üzerinden indirilebilecek çeşitli açık kod güvenlik yazılımlarıyla sınır güvenliği belli bir seviyede sağlanabilir fakat birden fazla yazılımın yönetiminin  zor olacağı aşikardır.

Pfsense bütünleşik güvenlik yönetim sistemi açık kod güvenlik dünyasının sağlam, esnek ve güvenli yazılımlarının birarara getirilmesiyle oluşturulmuş profesyonel kullanıma sahip bir dağıtımdır. Temelinde FreeBSD işletim sistemi kullanır.

Bu eğitim  pfSense bütünleşik güvenlik yönetim sisteminin kurumsal şirketlerde etkin kullanımını amaçlamaktadır.

Eğitime katılarak;

Eğitim boyunca katılımcılar orta ölçekli bir şirketin ihtiyaç duyabileceği tüm güvenlik hizmetlerinin pfSense kullanılarak sağlanabileceği konusunda uygulamalı bilgi sahibi olacaktır.

Eğitim Tarihi ve Eğitim Süresi:

Toplam iki gün olan bu eğitim 19-20 Mart 2011  tarihlerinde gerçekleşecektir. Kontenjan maksimum 12 kişi ile sınırlıdır.

Eğitim Saatleri: 09:30 – 17:30

Not: Eğitim gerçek sistemler üzerinde uygulamalı olarak gerçekleştirilecektir.

Gereksinimler: Kişisel dizüstü bilgisayar

Eğitmen: Ozan UÇAR

Ozan UÇAR, profesyonel anlamda 4 yıldır bilgi güvenliği araştırmacısı olarak ağ güvenliği, sızma testleri ve network forensics konularında  çalışmalar yapmakta ve yazılım geliştirmektedir.

Sektörde edindiği bilgi birikimini pfSense güvenlik duvarı ile kurumsal iş ortamlarına çözüm olarak sunan Ozan Uçar Türkiye’nin en büyük pfSense projesinde yöneticilik yapmıştır ve pfSense’e çeşitli ek modüller geliştirmiştir.

Bilgi güvenliği ve yan dalları hakkındaki tecrübelerini paylaştığı  web sayfasına  www.cehturkiye.com adresinden erişilebilir.

Katılımcılara eğitime destek olmak amacıyla Türkçe FreeBSD kitabı ve online FreeBSD eğitimi hediye edilecektir.

The post pfSense Güvenlik Duvarı Eğitimi 19-20 Mart 2011 first appeared on Complexity is the enemy of Security.

29-30 Ocak 2011 tarihlerinde hızlandırılmış pfSense eğitimi düzenlenecektir. Türkiye’de alanında ilk olan bu eğitimde klasik pfSense özelliklerinin yanında pfSense’in kurumsal ortamlarda kullanılması için gerekli bileşenlerin sisteme eklenmesi, yönetilmesi ve arabirimden yapılamayan özelleştirmelere değinilecektir.

Eğitim Tanımı:

Bilgi güvenliğinin en önemli bileşenlerinden biri sınır güvenliğidir. Sınır güvenliği denildiğinde akla gelen ilk bileşenler güvenlik duvarı(firewall), saldırı engelleme sistemi(IPS), VPN ve içerik filtreleme sistemleridir.

Internet üzerinden indirilebilecek çeşitli açık kod güvenlik yazılımlarıyla sınır güvenliği belli bir seviyede sağlanabilir fakat birden fazla yazılımın yönetiminin  zor olacağı aşikardır.

Pfsense bütünleşik güvenlik yönetim sistemi açık kod güvenlik dünyasının sağlam, esnek ve güvenli yazılımlarının birarara getirilmesiyle oluşturulmuş profesyonel kullanıma sahip bir dağıtımdır. Temelinde FreeBSD işletim sistemi kullanır.

Bu eğitim  pfSense bütünleşik güvenlik yönetim sisteminin kurumsal şirketlerde etkin kullanımını amaçlamaktadır.

Eğitime katılarak;

Eğitim boyunca katılımcılar orta ölçekli bir şirketin ihtiyaç duyabileceği tüm güvenlik hizmetlerinin pfSense kullanılarak sağlanabileceği konusunda uygulamalı bilgi sahibi olacaktır.

Eğitim Tarihi ve Eğitim Süresi:

Toplam iki gün olan bu eğitim 29-30 Ocak 2011  tarihlerinde gerçekleşecektir. Kontenjan maksimum 12 kişi ile sınırlıdır.

Eğitim Saatleri: 09:30 – 17:30

Not: Eğitim gerçek sistemler üzerinde uygulamalı olarak gerçekleştirilecektir.

Gereksinimler: Kişisel dizüstü bilgisayar

Eğitmen: Ozan UÇAR

Ozan UÇAR, profesyonel anlamda 4 yıldır bilgi güvenliği araştırmacısı olarak ağ güvenliği, sızma testleri ve network forensics konularında  çalışmalar yapmakta ve yazılım geliştirmektedir.

Sektörde edindiği bilgi birikimini pfSense güvenlik duvarı ile kurumsal iş ortamlarına çözüm olarak sunan Ozan Uçar Türkiye’nin en büyük pfSense projesinde yöneticilik yapmıştır ve pfSense’e çeşitli ek modüller geliştirmiştir.

Bilgi güvenliği ve yan dalları hakkındaki tecrübelerini paylaştığı  web sayfasına  www.cehturkiye.com adresinden erişilebilir.

Katılımcılara eğitime destek olmak amacıyla Türkçe FreeBSD kitabı ve online FreeBSD eğitimi hediye edilecektir.

The post pfSense Güvenlik Duvarı Eğitimi 29-30 Ocak 2011 first appeared on Complexity is the enemy of Security.

27-28 Kasım 2010 tarihlerinde hızlandırılmış pfSense eğitimi düzenlenecektir.

Türkiye’de alanında ilk olan bu eğitimde klasik pfSense özelliklerinin yanında pfSense’in kurumsal ortamlarda kullanılması için gerekli bileşenlerin sisteme eklenmesi, yönetilmesi ve arabirimden yapılamayan özelleştirmelere değinilecektir.

Eğitim Tanımı:

Bilgi güvenliğinin en önemli bileşenlerinden biri sınır güvenliğidir. Sınır güvenliği denildiğinde akla gelen ilk bileşenler güvenlik duvarı(firewall), saldırı engelleme sistemi(IPS), VPN ve içerik filtreleme sistemleridir.

Internet üzerinden indirilebilecek çeşitli açık kod güvenlik yazılımlarıyla sınır güvenliği belli bir seviyede sağlanabilir fakat birden fazla yazılımın yönetiminin zor olacağı aşikardır.

Pfsense bütünleşik güvenlik yönetim sistemi açık kod güvenlik dünyasının sağlam, esnek ve güvenli yazılımlarının birarara getirilmesiyle oluşturulmuş profesyonel kullanıma sahip bir dağıtımdır. Temelinde FreeBSD işletim sistemi kullanır.

Bu eğitim pfSense bütünleşik güvenlik yönetim sisteminin kurumsal şirketlerde etkin kullanımını amaçlamaktadır.

Eğitime katılarak;

Eğitim boyunca katılımcılar orta ölçekli bir şirketin ihtiyaç duyabileceği tüm güvenlik hizmetlerinin pfSense kullanılarak sağlanabileceği konusunda uygulamalı bilgi sahibi olacaktır.

Eğitim Tarihi ve Eğitim Süresi:

Toplam iki gün olan bu eğitim 27-28 Kasım 2010 tarihlerinde gerçekleşecektir. Kontenjan maksimum 12 kişi ile sınırlıdır.

Eğitim Saatleri: 09:30 – 17:30

Not: Eğitim gerçek sistemler üzerinde uygulamalı olarak gerçekleştirilecektir.

Gereksinimler: Kişisel dizüstü bilgisayar

Eğitmen: Ozan UÇAR

Ozan UÇAR, profesyonel anlamda 4 yıldır bilgi güvenliği araştırmacısı olarak ağ güvenliği, sızma testleri ve network forensics konularında çalışmalar yapmakta ve yazılım geliştirmektedir.

Sektörde edindiği bilgi birikimini pfSense güvenlik duvarı ile kurumsal iş ortamlarına çözüm olarak sunan Ozan Uçar Türkiye’nin en büyük pfSense projesinde yöneticilik yapmıştır ve pfSense’e çeşitli ek modüller geliştirmiştir.

Bilgi güvenliği ve yan dalları hakkındaki tecrübelerini paylaştığı web sayfasına www.cehturkiye.com adresinden erişilebilir.

Katılımcılara eğitime destek olmak amacıyla Türkçe FreeBSD kitabı ve online FreeBSD eğitimi hediye edilecektir.

The post pfSense Güvenlik Duvarı Eğitimi 27 Kasım 2010 first appeared on Complexity is the enemy of Security.

Bilgi Güvenliği AKADEMİSİ özgür güvenlik yazılımlarına destek vermeye devam ediyor. bu amaçla Internet dünyasının en çok tercih edilen güvenlik duvarı yazılımlarından PfSense’in kurumsal iş ortamlarında etkin kullanımını amaçlayan iki günlük hızlandırılmış bir eğitim programı hazırladık(“PfSense güvenlik Duvarı Eğitimi”).

Eğitim içeriği ve detaylarına http://www.bga.com.tr/?page_id=1651 adresinden erişilebilir. Bu konudaki ilk eğitim 2011 yılında gerçekleştirilecektir.

The post BGA’dan PfSense Güvenlik Duvarı Eğitimi first appeared on Complexity is the enemy of Security.

Çalıştığım şirket için yüksek kapasiteli (~10Gbps) DDoS engelleme sistemi arayışımız vardı. Yaklaşık 7-8 aydır piyasadaki ürünleri test ediyordum. Son olarak geçtiğimiz ay ArborNetworks’ün DDoS engelleme ürününü detaylı test etme fırsatı buldum. Bu yazı testleri nasıl gerçekleştirdiğimiz ve sonuçlarına yönelik kısa bir değerlendirmeyi içermektedir.

Üst not: Test sonuçları kötü çıkmış olsaydı muhtemelen bu yazıyı yayınlamayacaktım. Zira daha önce aynı ürünü Türkiye’de test etmiştim ve iki dakika içerisinde sistem dağılmıştı, sonradan anlaşıldı ki ürünü yapılandıran arkadaşlar sistemi iyi tanımıyormuş.

Aşağıda okuyacaklarınız ürünün ana geliştiricilerinin çalıştığı ofiste tüm mühendis ve geliştiricilerinin de müdahil olduğu bir ortamda gerçekleştirilmiştir.(Hatta geliştiricilerden birisi de Türkiye’den bir arkadaşmış, onu da öğrenmiş olduk)

Özet: Arbor’ın  DDoS engelleme çözümü test ettiğim ürünler arasında “DDoS engelleme konusunda”  en başarılısı çıktı. Ve benim de bu piyasadaki gönül rahatlığıyla önerebildiğim nadir ürünlerden birisi oldu.

Test amacı: 3-4 Gb DDoS ataklarına karşı  sistemlere herhangi bir yük bindirmeden çalışabilecek ve ek bir müdahele gerektirmeden  devreye girip, normal bağlantıları engellemeden çalışabilecek (false positive=~0), yönetimi kolay, raporlaması sağlıklı çalışan bir sistem arayışı.

Test ortamı:

Yukarıdaki  basit çizim dış taraftan bakıldığında test ortamının basit görüntüsü. Asıl test ortamı çok daha karışık  tasarlanmıştı.

Testler 3 adet Linux sistem kullanılarak gerçekleştirildi. Her bir Linux sistem Gigabit ethernet kartına sahip ve ortalama 800Mbps trafik üretebilecek şekilde yapılandırılmıştı.

Kullanılan araçlar: Hping, Netstress V.09, isic, juno ve çeşitli perl scriptleri

Gerçekleştirilen testler:Internet ortamında en sık rastlanan flood saldırılarının tamamaı denenmiştir. Test ortamı internete açık olmadığı için bazı saldırı testleri gerçek ortamda denenmek üzere ertelenmiştir.

Test sonuçları ve yorumlar: Tasarlanan test süredi 5 gün olmasına rağmen 3.5 gün gibi kısa bir sürede tüm testler başarıyla tamamlandı. Testlerin ilk iki günü sistemin yapılandırılması ve genel aksaklıklarla geçti, bu da ürünün yapılandırılmasının aslında ürün kabiliyetleri kadar önemli olduğunu göstermeye yetmişti. İki güne kadar yapılan testlerde en ilginç zaman dilimi  1Gb basılan trafiğin sisteme ulaştığında 5Gbps’e yükseldiğini görmekti. Basit bir yapılandırma hatası normal trafiğin bile DoS’a dönüşmesini sağlayabiliyor.

İki gün sonunda Arbor mühendisleri,geliştiricileri devreye girerek test ortamındaki hataları tamamen düzelttiler. Bu saatten sonra yaptığımız tüm testleri başarıyla tamamlayan Arbor “helal olsun koçum” sertifikasını almaya hak kazandı:). Özellikle UDP ve DNS flood saldırılarına karşı geliştirdikleri özgün çözümler mühendisliğin(klasik bilgisayar vs mühendisliği kastedilmemiştir) nerelerde işe yarayabileceğini gösterme açısında oldukça ilginçti.

Eksiler: Sistemin HTTP GEt flood vs saldırılarda daha önceden bir eşik değeri belirleme zorunluluğu ürünün zayıf taraflarından. Bu işlemi trafiği belirli dönem dinleyerek kendisinin otomatik yapması(ki çok zor bir işlem, false positive düşmeden yapabilmek) beklerdim. Saldırı esnasında sisteme ait performans değerlerini göstermemesi ciddi bir eksiklik. Bununla birlikte Netflow destekli kullanıyorsanız sadece trafik başlıklarına göre işlem yapabiliyorsunuz(bu tip ürünlerin genel dezavantajı). Inline modda kullanacak olursanız paket başlıklarının ötesinde içeriğe göre de DDoS engelleme yapabiliyor.

Artılar: Yüksek trafiklerde paket kaçırmadan saldırıları engellemesi, normal trafiğe dokunmaması. BGP off-ramp çalışabilme özelliğiyle ISP’de konumlandırılarak trafiğin size daha ulaşmadan kaynağına en yakın yerde kesilmesi. Portspan, Inline çalışabilmesi.

Sonuç: Arbor alternatif ürünlere oranla daha basit bir yapıya sahip ve gücünü de bu basitlikten alıyor. Belirli tip saldırıları engelleme için eşik değerleri girdirilmesi gibi manuel müdaheleler dışında diğer tüm özellikleri otomatik olarak devreye girip sağlıklı çalışıyor. Firmanın sadece bu işe dedike olması da oldukça önemli. Fakat üründen daha önemli olan şey ürünün yapılandırılması ve ürünü yönetecek kişilerin bilgi seviyesi. Türkiye’de de bazı firmaların Arbor çözümü sattıklarını duyuyorum, bu konuda müşteri olacaklara tavsiyem mutlaka ve mutlaka alacakları hizmeti önceden test ettirmeleri. Testleri de  satıcı firmadan bağımsız birilerine yaptırmaları.

Lab ortamımız:

Sınırları zorlamaya başlarken…

Tek bilgisayardan ~900Mbps trafik basarken:

The post Arbor DDoS Testleri first appeared on Complexity is the enemy of Security.

Geliştirmeye çalıştığımız DoS/DDoS engelleme sisteminin daha efektif çalışması için üzerine uğraştığımız konuların başında IP authentication geliyor(SYN authentication, HTTP authentication gibi ek protokoller de eklenebilir). “IP authentication”dan kastımız saldırı anında hangi ip adreslerinin gerçek hangilerinin sahte(spoof edilmiş) olduklarını belirlemek ve ona göre önlem almak.

Piyasada bulunan birçok IPS/DDoS engelleme sisteminde IP authentication kısmı sağlıklı çalışmıyor, basit bir iki numarayla bu sistemler devre dışı bırakılabiliyor(bkz: Güvenlik sistemlerini atlatma). Eğer saldırı anında hangi ip adresi gerçek hangisi değil kesin olarak belirlenebilirse saldırılara karşı koruma almak o ölçüde kolaylaşır.

Transport katmanında TCP kullanan uygulamalarda Ip authentication işini yapabiliyoruz fakat UDP kullanan uygulamalarda o kadar kolay olmuyor. Tam yaptık dediğimiz anda denediğimiz alternatif bir saldırı yöntemi hevesimizi kursağımızda bırakıyor. IP adreslerinin gerçek olup olmadığını netleştirdikten sonraki adım gelen saldırılarda tek tek ip adresi saymak yerine aynı ip bloğundan belirli sayının üstünde trafik gelirse ve sistem zor durumdaysa tek tek ip adresi engellemek yerine komple CIDR engellemek daha az maliyetli olur mantığından yola çıkarak piyasada bu işi yapan örnekleri inceledik.

Ticari olarak bu mantığı iyi oturtmuş ama ip authentication işlevini yerine getiremeyen bir iki örnek inceledim, Aguri de bu işi pasif olarak yapan ve saldırı anında trafiğin karekteristiğini çıkarmaya yardımcı olan bir araç. Tam istediğimizi yapmıyor ama örnek alma açısından iyi bir yazılım. Açık kod sistemlerle DDoS analizi yapmak isteyenler için de kullanışlı bir araç.

[root@S-Guard17 ~]#  aguri -i em0 -4 -s 50 -xds -t 30
packet filter: using device em0
bpf buffer size is …

%!AGURI-1.0
%%StartTime: Mon May 03 20:39:10 2010 (2010/05/03 20:39:10)
%%EndTime:   Mon May 03 20:40:00 2010 (2010/05/03 20:40:00)
%AvgRate: 13.46Mbps
%201748 packets received by filter
%0 packets dropped by kernel

[src address] 84145213 (100.00%)
0.0.0.0/0       786034 (0.93%/100.00%)
78.160.0.0/11     4537009 (5.39%/5.39%)
84.0.0.0/6   2559991 (3.04%/3.04%)
88.224.0.0/11     3331406 (3.96%/3.96%)
93.187.207.182  4535276 (5.39%)
94.0.0.0/7  2568689 (3.05%/3.05%)
128.0.0.0/1    3315678 (3.94%/78.23%)
212.98.228.73   3659092 (4.35%)
212.98.228.246  50994825 (60.60%)
212.98.243.10   7857213 (9.34%)
%LRU hits: 99.76% (141206/141539)  reclaimed: 158

[dst address] 84145213 (100.00%)
0.0.0.0/0       1976582 (2.35%/100.00%)
78.160.0.0/12     3974013 (4.72%/11.97%)
78.160.0.0/14    3342516 (3.97%/3.97%)
78.172.0.0/15   2754252 (3.27%/3.27%)
78.176.0.0/13    3124193 (3.71%/3.71%)
78.184.0.0/13    2617611 (3.11%/3.11%)
80.0.0.0/5   2914573 (3.46%/11.17%)
85.96.0.0/13     3472237 (4.13%/4.13%)
85.104.0.0/14    3015422 (3.58%/3.58%)
88.224.0.0/11     4336258 (5.15%/13.17%)
88.228.0.0/14    3148430 (3.74%/3.74%)
88.248.0.0/13    3598513 (4.28%/4.28%)
92.0.0.0/6   4815378 (5.72%/9.85%)
94.0.0.0/9 3475789 (4.13%/4.13%)
188.0.0.0/8 2663329 (3.17%/3.17%)
208.0.0.0/4   2653405 (3.15%/41.50%)
212.98.228.73   8786871 (10.44%)
212.98.228.246  18481471 (21.96%)
212.98.243.10   4994370 (5.94%)
%LRU hits: 99.81% (141266/141539)  reclaimed: 38

The post DDoS Saldırılarında Spoof Edilmiş IP Adresleri ve İstatistiksel DDoS Analiz Aracı:Aguri first appeared on Complexity is the enemy of Security.

Saldırılarda ortak tek nokta trafik miktarlarının çok yüksek olmadığı(yani saldırı yapılan firmanın bandwith miktarından daha düşük seviyede). Tüm saldırılar 50-600 Mb civarında değişiyordu.
Yine DDOS engelleme sistemi kurduğumuz bir müşteriden gelen şikayet üzerine sisteme girdiğimde birilerinin sistemi yıkmak için ciddi bir saldırı düzenlediğini gördüm. Saldırıda DDOS engelleme sistemi tarafından yakalanan ve engellenen gerçek IP sayısı 7500, spoofed ip sayısı milyonlarcaydı.  Bu da bana saldırının ortalama 7500 sistemden geldiğine dair ipucu verdi(saldırı yapanlar syn flooddan tutun, GET flood, ACK flood herşeyi deniyorlardı).

7500 sistemlik bir botnet de ciddi saldırı yapılır mı diyebilirsiniz. Bu durumda 2007’de Root DNS’lere yapılan DDOS saldırısının 4500 zombi ile yapıldığını hatırlatalım.

Türkiye zombi bilgisayar pazarında ciddi oyunculardan:).

Meraklısına not: DDOS saldırısında kullanılan IP adreslerinin %90 TTNet abonesi ve ilgili firmaya bu abonelerin IP adreslerini ulaştırmıştım.

The post Basit DDOS Analizi ve Türkiye’deki zombi bilgisayarlar first appeared on Complexity is the enemy of Security.

Sunumla ilgili yorumlarınızı [email protected] adresine gönderebilirsiniz.

The post Özgür yazılımlarla DDOS engelleme sunum dosyası first appeared on Complexity is the enemy of Security.

2-3 Nisan 2010 tarihlerinde İstanbul Bilgi Üniversitesi’nde gerçekleştirilecek “Özgür  yazılım ve Linux günleri” kapsamında Özgür yazılımlarla DDOS Saldırıları Engelleme konulu bir sunum vereceğim.

Sunum OpenBSD ve Snort ikilisi kullanılarak saldırıları engelleme (Neden OpenBSD  diye soranları sunuma bekleriz) ve benim son 2-3 yılda yaşadığım saldırılar ve analizlerinden edindiğim tecrübeleri içerecek. (15:30-16:20 saatleri arası).

Programın tamamına http://www.ozguryazilimgunleri.org/program_tmp.html adresinden erişilebilir.

The post [Sunum]Özgür Yazılımlarla DOS/DDOS Saldırıları Engelleme first appeared on Complexity is the enemy of Security.

Yazının fazla uzamasından dolayı bazı detaylara fazlasıyla yer veremedim, başka bir yazıda değinilmeyen detayları da yazmaya çalışacağım.

The post [Makale] SYNFlood saldırıları ve korunma yolları first appeared on Complexity is the enemy of Security.