Güvenlik testlerinin önemli konularından biri de bruteforce parola saldırılardır. Özellikle hedef sistemlerde herhangi bir açık bulunamıyorsa ve dışarıya açık login servisi sunuluyorsa bruteforce saldırıları kaçınılmaz olur.
Network üzerinden yapılan bruteforce denemelerinde en önemli nokta yazılımın paralel denemeler yapabilmesi ve modüler yapıda(çokça sayıda network servisini destekleme) olmasıdır.
Network üzerinden yapılacak brute force denemeleri içi çeşitli yazılımlar var. Bunlardan en günceli ve özellik olarak en zengini Medusa’dır. Medusa ve diğer bruteforce yazılımlarının güncel karşılaştırma tablosu için http://foofus.net/jmk/medusa/medusa-compare.html adresi incelenmelidir. Read more »
http://www.secdev.org/projects/scapy/
Scapy, Python dili ile yazılmış Linux ve Windows sistemlerde komut satırından çalışan açık kaynak kodlu bir yazılımdır. Kullanım amacı TCP/IP ağlar için özelleştirilmiş paketler üretmektir. Nmap, packit, Hping, sing gibi bu işe özel araçlar varken neden özelleştirilmiş paketlere neden ihtiyaç duyarız?
Bunun cevabı yine sorusunda yatıyor.Nmap ve Hping en sık kullanılan port tarama ve paket üretme “araçlarıdır”, yani belirli amacı gerçekleştirmek için hazırlanmış yazılımlar. Fakat her iki aracın da sınırları vardır ve sadece yazılımcısının sunduğu özellikler kullanılabilir. Read more »
Linux dağıtımlarında sistemdeki kullanıcıların parolaları /etc/shadow dosyasında hash+salt şeklinde saklanır. Salt(tuz) her seferinde değişken olarak atanan bir değerdir, bundan dolayı aynı parolayı iki kere girildiğinde hash değerleri farklı çıkacaktır. Read more »
DoS/DDoS testlerinde kullandığımız çeşitli araçları tek bir yazılım adı altında birleştirmeye karar verdik. Ilk sürümünü DDoS Saldırıları ve Korunma Yolları eğitiminde test edeceğimiz Netstress(Aka Saldıray) yazılımının özelliklerini aşağıdaki blog girdisinden okuyabilirsiniz.
http://blog.bga.com.tr/dosddos-saldirilari/netstress-dosddos-saldiri-test-araci/
Read more »
Synproxy/syncookie(farklı şekilde aynı işi yaparlar), günümüz IPS ve Firewall sistemlerinin Synflood DOS saldırıları için aldığı klasik önlemlerdendir. Synproxy/syncookie ile korunan bir system DOS saldırısı altında iken gelen spoof edilmiş SYN paketlerinden etkilenmez çünki önünde synflood koruması yapan bir system vardır. Syncookie/synproxy için “SynFlood DDOS Saldırıları ve Korunma Yolları” yazısının okunması faydalı olacaktır. Read more »
Penetrasyon testleri(Sızma testleri) günümüz bilgi güvenliği dünyasının en popüler konularından biri. Bu konuda verdiğim eğitimlerde sık sık 
karşılaştığım belirli sorular oluyor, bunlara toptan cevap olması adına 10 soruda pentest konulu bir yazı hazırladım. Pentest nedir, neden yaptırmalıyım, kime nasıl yaptırmalıyım gibi sorulara cevap arıyoruz. Sizin de bu konu hakkında fikirleriniz varsa yorumlarınızla zenginleştirebilirsiniz.
Öncelikle pentest kavramından ne anladığınızı ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım gibi sorular sormayın kendinize.
Read more »
Tags: ethical hacking, penetration test, pentest, risk assessment, vulnerability assessment
Misc, Network Security, Network Tools, PCI DSS, Penetration, Security Tools, System Security | 
Comments (2)
24-25 Ekim 2009 tarihlerinde iki günlük hızlandırılmış ileri seviye pentest eğitimi veriyorum. Eğitimin adı Backtrack ile Penetrasyon testleri. Eğitim fikri network pentest eğitimine katılan arkadaşların daha ileri seviye %100 uygulamalı bir eğitim niye yok serzenişlerinden çıktı ve zamanla olgunlaşarak çok sağlam bir eğitim haline geldi. Öyle ki bu eğitim için 500 sayfalık Türkçe döküman hazırlamak zorunda kaldım.
Neden Backtrack Eğitimi?
Backtrack Linux dağıtımı tüm profesyonel pentesterların elinin altında bulundurduğu bir sistem ve testlerin büyük bir çoğunluğu Backtrack üzerinden gerçekleştiriliyor. Kendi sistemlerinizin güvenliğini ücretsiz test etmek isterseniz bulunmaz bir fırsat. Tek eksiği konu hakkında yeterli bilgisi olmayanların hangi yazılımı nerede ve nasıl kullanacağını bilmemesi.
Bu eğitim de tam olarak bunu sağlamak için açılıyor.
Diğer eğitimlerden farkı nedir? Read more »
Özellikle büyük ölçekli ağlarda belirli portlardaki(SMTP, TCP/445, TCP/139, UDP/1433) trafigin yuksek olmasi anormallik sayilabilir. TCP/25′in yoğun olması spam alameti sayılabilir, benzer şekilde TCP/445 portunun yoğun kullanımı ağınızdak zombilerin cirit attığına işaret eder.
Ağ trafiğinde protokol analizi yapmak için kullanılan en sağlıklı yöntem Netflow’dur. Netflow Cisco’ya özel olsa da piyasada aynı ismi ya da benzeri ismi taşıyan çeşitli flow yazılımları bulunmaktadır. Fakat flow yazılımlarının çalışması için network cihazlarında ayar gerektirir ve bazı durumlarda flow açmak yönlendirici sistemleri zor durumda bırakır(DDOS saldırılarında vs). Flow yerine kullanılanılabilecek diğer bir yöntem de trafiğini SPAN edip bir sniffer aracılığıyla analiz etmek.
Bu iş için en ideal yazılım Argus’tur. Fakat bazen daha basit bir araca ihtiyacımız olur. Mesela amacımız sniffer aracılığıyla kaydedilmiş paketleri inceleyerek ağ trafiğinde protokol kullanım oranını görmekse argus yerine tcpdstat gibi tek işi bu olan basit bir araç kullanabiliriz.
tcpdstat ile trafikden ne elde edilir?
Hangi port(protokol)un ne oranda kullanildigi bilgisi, hangi porttan kac MB veri transferi yapılmış, kaç paket geçmiş, ağımızda yaygın kullanılan paket boyutu gibi bilgiler alınabilir.
Bir sniffer aracılığıyla kaydedilmiş trafiği tcpdstat’a okutarak yukarda saydığım maddeleri gösteren rapor alabiliriz.
[root@sniffme]# tcpdstat -n 10gb.pcap
DumpFile: 10gb.pcap Read more »
Wildcard sertifikalar tek bir sertifika ile birden fazla web sitesini güvenli hale getirmek için kullanılır. Sayısal sertifiakaların domain isimlerine alındığı gözönüne alınırsa aynı domaine ait her alt domain için farklı sertifika alımı gerekecektir(Örn: www.lifeoverip.net, vpn.lifeoverip.net, mail.lifeoverip.net) Wildcard sertifikayla aynı domaine ait tüm subdomainler için tek bir sertifika yeterli olacaktır.
OpenSSL ile Wildcard sertifika üretimi
Wildcard sertifika üretiminin normal sertifika üretimlerinden farkı yoktur. Sadece host isminin yazıldığı alana www.lifeoverip.net yerine *.lifeoverip.net yazılması gerekir.
# openssl req -new -keyout ./wildcard.req -out ./wildcard.req -days 3652
Generating a 1024 bit RSA private key
…..++++++
…..++++++
writing new private key to ‘./wildcard.req’
Enter PEM pass phrase:
Verifying – Enter PEM pass phrase:
phrase is too short, needs to be at least 4 chars
Enter PEM pass phrase:
Verifying – Enter PEM pass phrase:
—– Read more »
