pfSense Firewall & Router Eposta Listesi

pfSense, FreeBSD işletim sistemi tabanlı OpenBSD PF güvenlik duvarını kullanan gelişmiş ve esnek firewall & router projesidir.

Bu listenin amacı, Türkiye’de sınır güvenliğinde ve network alt yapısında pfSense Firewall & Router kullanımda elde edilen bilgi ve tecrübelerin paylaşılması ve bir kütüphane olarak tutulmasını sağlamaktır.

Listede tartışılabilecek konular;

- TCP/IP

- Network Teknolojileri

- Pfsense Firewall & Router konfigurasyon ve sorun giderme teknikleri

- Geliştiricilere yönelik pfSense firewall

- Kurumsal ağlar için pfSense kullanımı

- Eğitim Meteryalleri (Video, Döküman, Script vb.)

Listeye üye olmak için; Read more »

pfSense Güvenlik Duvarı Eğitimi 29-30 Ocak 2011

29-30 Ocak 2011 tarihlerinde hızlandırılmış pfSense eğitimi düzenlenecektir. Türkiye’de alanında ilk olan bu eğitimde klasik pfSense özelliklerinin yanında pfSense’in kurumsal ortamlarda kullanılması için gerekli bileşenlerin sisteme eklenmesi, yönetilmesi ve arabirimden yapılamayan özelleştirmelere değinilecektir. Read more »

BGA’dan PfSense Güvenlik Duvarı Eğitimi

Bilgi Güvenliği AKADEMİSİ özgür güvenlik yazılımlarına destek vermeye devam ediyor. bu amaçla Internet dünyasının en çok tercih edilen güvenlik duvarı yazılımlarından PfSense’in kurumsal iş ortamlarında etkin kullanımını amaçlayan iki günlük hızlandırılmış bir eğitim programı hazırladık(“PfSense güvenlik Duvarı Eğitimi”).

Eğitim içeriği ve detaylarına http://www.bga.com.tr/?page_id=1651 adresinden erişilebilir. Bu konudaki ilk eğitim 2011 yılında gerçekleştirilecektir.

IP TTL Değerlerini Kullanarak Firewall/IPS Keşfi

IP başlığındaki TTL değeri bir paketin yaşam süresini belirler. Bir paket L3 routing işlemi yapan bir cihaza rastgeldiğinde TTL değeri bir düşürülür. Farklı sistemler farklı TTL değerlerine sahip olabilir. Mesela Linux sistemler paket oluştururken TTL değerini 64 yaparak gönderir, Microsoft Windows ise 128 değerini kullanır.
Read more »

NSS Labs Hangi IPS Çözümünü öneriyor?

Yaklaşık bir haftadır tüm hesaplarıma aşağıdaki gibi e-posta geliyor… Ben de bu soruyu alıp “Hangi IPS çözümü diğerinden farklıdır, neden” diye sormak isterim. Hatta daha ileriye gidip IPS çözğmleri gerçek koruma sağlar mı diye kışkırtıcı bir soru sorabilirim ama bu aşamaya henüz gelemedik:)

NSS Labs Hangi IPS Çözümünü öneriyor?

Sayın huzeyfe onal,

Tüm IPS üreticileri en iyi çözüme sahip olduklarını iddaa ederler, bu durumda hangisine güvebilirsiniz ?

Bu kafa karışılığını ortadan kaldırmak için NSS Labs gibi güvenilir bağımsız bir otoritenin görüşlerine başvurmanızı tavsiye ederiz. NSS Labs, dünyanın önde gelen bağımsız araştırma ve bilgi güvenliği test kuruluşudur. 2009 yılı son çeyreğinde, NSS Labs 7 IPS üreticisini 1,159 farklı atak tipi aracılığıyla zorlu bir teste tabi tutmuştur.

Hangi IPS konfigürasyonu tamamlandıktan sonra en yüksek bloklama oranlarına erişmiştir ?  Hangi IPS çözümleri kaçırma testlerini başarıyla tamamlamıştır ? Hangi IPS çözümleri RPC parçalama, URL gizleme ve FTP kaçırma gibi testlerden başarısız olmuştur ?

Bu soruların cevaplarını ve daha fazlasını, ücretsiz olarak ve NSS Labs tarafından hazırlanan Q4 2009 Ağ Sızma Engelleme Sistemi Test Yönetici Özeti içerisinde bulabilirsiniz.

Bu raporda  lider IPS çözümleri  NSS Labs değerlendirme kategorilerinde “Tavsiye edilir”, “Tarafsız” ve “Dikkat” olarak  yer alıyor.

NSS Labs yönetici özetinin bir kopyasını ücretsiz olarak edinmek için, kayıt olunuz.

Sourcefire

Read more »

SynCookie/SynProxy ile korunan sistemlere yönelik port tarama

Synproxy/syncookie(farklı şekilde aynı işi yaparlar), günümüz IPS ve Firewall sistemlerinin Synflood DOS saldırıları için aldığı klasik önlemlerdendir. Synproxy/syncookie ile korunan bir system DOS saldırısı altında iken gelen spoof edilmiş SYN paketlerinden etkilenmez çünki önünde synflood koruması yapan bir system vardır. Syncookie/synproxy için “SynFlood DDOS Saldırıları ve Korunma Yolları” yazısının okunması faydalı olacaktır. Read more »

Iptables’in sınırlarını zorlamak – 1 milyon nat kuralı

Bir projede şöyle bir ihtiyaç oldu: Bridge modda çalışıp belirli adreslere(1000.000 farklı ip adresi) giden istekler yereldeki bir proxy’e yönlendirilecek ve kullanıcıya uyarı gösterilecek.

Belirli adresler haricine gidecek paketlere hiç dokunulmayacak. Projede Linux kullandığımız için paket filtreleme/nat aracı olarak da Iptables(Linux ile birlikte gelen güvenlik duvarı yazılımı)kullanmak zorunda kaldık.

Proje sonucunun  başarılı olabilmesi için  iptables’a 1000.000 nat kuralı girmemiz gerekti, önce bir script aracılığıyla başarmaya çalıştık fakat iptables eş zamanlı olarak bir adet kural girilmesine izin verdi. Biz de 1000.000 ip adresini iptables-restore komutunun anlayacağı hale getirip

iptables-restore < black_list

komutuyla sisteme girmeye çalıştık. Bu arada sistem

“kernel: allocation failed: out of vmalloc space – use vmalloc=<size> to increase size.”

hatası vererek 100.000 den fazla kuralı kabul etmedi.

Çözüm:

grub.conf’da
kernel /vmlinuz-2..

satırının sonuna vmalloc=600MB(default’u 250MB miş gerektiği kadar arttırmak lazım) yapınca sorunumuz çözüldü ve istediğimiz sayıda kuralı iptables’a 40-50 saniye gibi kısa bir sürede girebildik.

Siz de firewall’un kural performansını test etmek isterseniz aşağıdaki rastgele ip üreteç scriptinden faydalanıp kendi kurallarınızı yazabilirsiniz.

Random ip adresi üretmek için kullandığım script:

#!/usr/bin/perl
use strict;
srand(time() ^ ($$ + ($$ << 15)));

for (1..1000000){
    print join (‘.’, (int(rand(255))
                     ,int(rand(255))
                     ,int(rand(255))
                     ,int(rand(255))))
          , “\n”;
}

Kaynak:http://www.perlmonks.org/?node_id=389028

NetscreenKurallarını HTML’e Aktarma

Netscreen Firewall kurallarını aynı web yönetim arabirimindeki gibi incelemek isterseniz ns2html uygulamasına gözatmanızı öneririm. Böyle bir uygulama nerde lazım olur? Firewall kurallarını analiz etmek icin yetkiniz yoksa ve FW adminlerle uğraşmak istemiyorsanız sadece get config komutunun çıktısını  almanız yeterli. Bu çıktıdan aşağıdaki gibi temiz bir html çıktısı elde edip incelemelerinze başlayabilirsiniz. Read more »

Güvenlik Duvarları ve FTP Sorunu

FTP protokolü* ve benzeri bir iki protokol(SIP, TFP, IRC) güvenlik duvarlarında en cok problem yasatan protokollerdir. Bunun temel sebebi bu protokollerin sıradan TCP/IP protokollerinden biraz farklı çalışması.

Tanıdığım çoğu Firewall admini bu tip protokollerle ilgili problem yaşadığında konunun detayını bilmediği için sorunu başka yerde arıyor. FTP özelinde konunun anlaşılabilmesi için FTP nasil calisir, FTP cesitleri nelerdir ve güvenlik duvarlarıyla sorunu hakkında birseyler hazırladım. İhtiyaç duyanlar http://www.lifeoverip.net/docs/ftp_ve_firewall/ ulasabilir.

Aynı yazının pdf formatı: http://www.guvenlikegitimleri.com/calismalar/firewall_ftp.pdf

Read more »

TTNet ADSL Ücretsiz Kullanma Rehberi

Yaz sicaklarindan midir nedir cok kiskirtici basliklar atmaya basladim:). Evet bu kisa yazinin konusu kisitli  TTNet  ADSL baglantisini ucretsiz kullanma.

Yazma sebebim: Yaklasik bir hafta oncesinde arabayla mahalleye girerken bir cukura dustum, kime kizacagim konusunda dusunurken apartmanda Telekomdan amcalari gordum. Kisa bir selamdan sonra “Hayirdir yine ne calismasi?” soruma hatlarinizi degistiriyoruz, artik daha iyi cekecek internetiniz cevabi aldim. Sevindirik bir sekilde eve gittim , birkac saat sonrasinda internet ihtiyaci hissedip makinemin basina oturdum. Bir de ne goreyim her baglanmak istedigim sitede TTNet’in ozel bir sayfasına yönleniyorum. Hani su kullanıcı adı/parola bilgilerinizi yanlıs girdiniz diyip yonlendirildigimiz  meşhur sayfa.

 Oysa bir iki saat öncesine kadar Internette sorun yok diyor ev halkı. Neyse dedim herhalde fatura felan odemedik kestiler yine. Hemen 3G modemini takarak fatura islemlerini hallettim ve aynı gün tekrar bağlantıyı denedim, nafile…

Olayın üzerinden 3 gün geçti, ben 3G üzerinden bağlanabildiğim için hatta 1 Ağustos itibariyle tamamen ADSL hattımı kapattırmayı düşündüğüm için pek takmadım ama şeytan habire zihnimi kurcalayıp öğren bunu öğren diye rahatsız ediyordu ben de şeytana uyarak biraz sistemi kurcaladım.

Birkaç deneme sonrasında önce dışarıya UDP53 portunun açık olduğunu gördüm, dışarda bulunan sistemlerimde 53/UDP de çalışan VPN sunucu olduğu için ilk olarak oradan çıkmayı denedim ama sonradan hosting firmasının yeni kurduğu IPS’e takıldığımı gördüm . Mecburen port değiştirmem gerekti.  Biraz uğraştıktan sonra dışarıya açık başka UDP portu bulamadığım için TCP portlarını denemeye başladım. Neyseki TCP’de şansım yaver gitti  ve 80 ve 443. portları açık buldum.

80. port klasik yönlendirme portu olduğu için ona bulaşmadım. Zira önümdeki sistem authentication aşamasını geçememiş kullanıcıların tüm HTTP isteklerini yukarda gördüğünüz çirkin(!) sayfaya yönlendiriyor. Ama 443. portu gayet iyi çalışıyordu. Hemen bildigim HTTPS sitelerini denedim(Gmail, yahoo, RApidshare:) ve sorunsuz, hızlı bir şekilde bağlanabildim.

Şimdi merakım ben authentication aşamasını geçmediğim için harcayacağım trafik faturamda gozukecek mi?  Tahminim kullanılan altyapı müşteri kendini sisteme tanıttıktan sonda aldığı ip adresi için faturalama yapıyor. Yine de gerçeği ay sonu göreceğim ya da TTnet’den bir arkadaşa hem yapının nasıl çalıştığını hem de bu portları (UDP/53, TCP/443))neden açık bıraktıklarını soracağım.

Ek Not: Ultrasurf gibi bir proxy kullanirsaniz her sitenin HTTPS’ine gerek duymadan istenilen sitelere rahatlikla ulasabilirsiniz. Amaciniz başka protokoller(SSH, SMTP vs) kullanmak ise SSH port forwarding ya da openVPN denemenizi öneririm. Ultrasurd, openvpn, ssh port forwarding kelimeleri yabanci geldiyse blogdaki search ozelligi ile bu kelimeleri aratabilirsiniz.