1-2 Mayıs 2010 tarihlerinde Snort Saldırı Tespit ve Engelleme Sistemi eğitimi açılacaktır.
Eğitime katılanlar günümüzde ağ güvenliği denildiğinde akla ilk gelen bileşen IPS’ler hakkında detay ve uygulamalı bilgi sahibi olacaklar ve Snort’u gerçek ağ ortamlarında kullanabilmek için gerekli bilgiyi edinecekler.
Eğitim ileri düzey bir eğitim olduğu için öncesinde katılımcılara ücretsiz olarak “Online TCP/IP Güvenliği” eğitimi hediye edilecek ve online sınav yapılacaktır.
Eğitim sonrası katılımcılar “Snort Certified Professional (SnortCP)” sertifikasına hazır hale geleceklerdir. Read more »
IstSec’in duyurulmasıyla birlikte sunucularımıza gelen tarama, saldırı ve anormal trafiklerde ciddi bir artış oldu. Evet insanların popüler olan, dikkat çeken birşeye karşı olan hislerini anlayabiliyorum ve bunu dikkate alarak belirli önlemleri almıştık.
Ama hep derim biz güvenlikciler saldırganlar kadar acımasız olamıyoruz, hayal dünyamız onlar kadar geniş olamıyor. Sayfadaki basit bir formu bile DOS yapmada kullanabiliyorlar.
Velhasıl baktım saldırı yapanlar çoğunlukla Windows makine kullanıyor ben de onlara karşı aktif savunma moduna geçtim. Sistemlerden en çok tarama alan bir tanesine yeni çıkmış ve Windows 7 sistemleri etkileyen güvenlik açıklığını yerleştirdim. Açıklık, eğer Windows 7 kullanıyorsanız ve exploitin çalıştığı hosta 445.porttan bağlandıysanız(SMB protokolünü kullanarak) makinenizi kilitliyor. (Port taramalarında da mutlaka 445. portu deneniyor ya da 445. portun acik oldugunu goren hemen paylasim aramaya calisiyor) yani tam bir ava giderken avlanma durumu söz konusu.
Bakalım bizim uber hackerlar makineleri donmaya baslayinca ne yapacak. Benzeri bir yontemi 3g baglantima gelen paylasim arama isteklerine karsi da yapacagim.
Yaklasik bir aydir destek verdigim birkac sunucu uzerinde SPAM mesajlarla ilgili calismalar yapiyorum. Spam yakalama yazılımım(Spamassassin) çok iyi çalışıyor fakat bazen o kadar çok spam geliyor ki bunları yakalamak için sistem kaynaklarını fazlası ile tüketiyor. Ben de bu işi network seviyesinde halletmek için kolları sıvadım ve cesitli yöntemler denemeye başladım.
Calismalarimin bir ayaginda Spamlerin hangi ulkelerden geldigini belirlemek var. Bunun için spam yakalama yazılımlarının loglarından kaynak ip adreslerini alarak basit bir script(ıp-Ülke bulma islemi icin Gokhan Alkan sagolsun GeoIP ile birseyler yazdı) ile hangi ulkelere ait oldugunu bulduruyor ve her ülkenin ne kadar spam gönderdiğini hesaplıyorum.
Sonrasında spam gönderen ülkelerin ne kadar gerçek mail gönderdiğini hesaplayıp bu ülkelerin ip aralıklarına Grey listing uygulayacağım(Dogrudan grey listing çalıştırmıyorum ziragerçek maillerde yavaşlığa sebep oluyor). Böylece ilgili ülkeden gelen spam oranlarını düşürmeyi planlıyorum.
Aşağıdaki istatistikler günde ortalama 600.000 spam alan ve üzerinde sadece Türk firmalarına hizmet veren domainlerin olduğu spam yakalama yazılımlarından aldığım verileri içeriyor.
Görüleceği üzere Turkiye ikinci sırada. Bunun en temel sebebi zombi konumuna düşmüş ADSL aboneleri. TTNet’in bugünlerde duyurduğu çalışma sonrası bakalım bu oran değicek mi?
Vakit buldukça bu istatistikleri güncelleyeceğim ve spam üzerine yaptığım çalışmaların etkisini izleyeceğim.
Read more »
Guvenligini ustlendigim internete acik sistemlerin son 6 aylik durumunu dusundugumde gelen saldirilarda basi web uygulama acikliklari cekiyor, bunun hemen ardinda ise SSH sunuculara yapilan giris deneyimleri geliyor. SSH sunucularin guvenli yapilandirilmasi cok daha kolay olmasina ragmen hic azimsanmayacak bir oranda basarili giris/sizis yapildigini duyuyorum(kendi sistemlerimde degil:)). SSH servisi disariya acik bir sistem icin en ideal giris kapisi, kapinin uretildigi ham madde ne kadar saglam olursa olsun yeterli onlem alinmayinca birileri bir sekilde giris yolu bulabiliyor demek ki.
Vakti zamaninda SSH sunucuma kimler hangi iplerden geliyor, hangi kullanici adlari ve parolalari deniyor diye merak ederdim. Bunlar icin ssh loglarini ayri bir dosyaya yonlendirerek loglar uzerinde basit unix araclari ile raporlama alabiliyordum fakat loglarda parola bilgileri gozukmuyordu. Bunu da OpenSSH’a bir yama gecerek halletmistim(Yillar sonra bu yama ile baska bir sunucu da daha karsilastim ve parola secimimde radikal degisiklikler yaptim:). Sonralari bu merakim dindi zira loglar incelenemeyecek kadar buyumeye baslamisti.
Hafta sonu uzuun zamandir yapamadigim bir is yapip birikmis e-postalari okudum, bir suru notlar cikardim ve bloga aktarmaya basladim. Notlardan biri de benzeri bir araci daha saglikli bir sekilde yapan bir proje idi. Projenin adi Kojoney. SSH sunucuya gelen isteklerden kimin, hangi ip, ulke uzerinden ne tip bir arac ile(otomatize bir arac mi yoksa insan mi) deneme yaptigi konusunda bilgi edinmek, basarili(!) saldirganlarin sistem uzerinde calistirdigi komutlarin ne oldugunu ogrenemek icin yapilmis bir calisma. Python+Twisted kullanildigi icin eklentiler yapmak oldukca kolay olacaktir.
Detaylar icin: http://kojoney.sourceforge.net/
