Snort Çıktılarında IP Adreslerini Gizleme
Zaman zaman e-posta listelerine örnek trafik çıktıları gönderilmektedir, bu trafik çıktılarında gereksiz yere şirketin internete doğrudan verilmemiş ip adresleri yer alabilir. Read more »
Tags: snort IPS
Category: Snort
Kurumsal İş Ortamlarında Snort Kullanımı
Snort 3.5~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır. Snort’u temel alarak geliştirilen Sourcefire 3D sistemi Gartner raporlarında hep en üst sıralarda yer almaktadır. Read more »
Tags: enterprise snort, Snort
Snort IPS için bypass kiti
Snort’u ticari ortamlarda inline modda kullanıyorsanız Snort makinesinin çeşitli durumlarda çalışmaması tüm sistemi etkileyecektir. Bunun için genellikle tercih edilen yöntem bypass kit kullanmaktır. Bypass kiti hem Snort çalıştıran makinenin elektrik durumunu hem de Snort’u kontrol ederek bir aksilik durumda paket kaybı yaşatmadan trafiği normal olarak akıtmaya devam edecektir.
Bu konuda ben Netoptics cihazlarını tercih ediyorum. Kite http://www.netoptics.com/support/documents/BypassSolution.pdf adresinden bypass kitin çalışma mantığına ve özelliklerine erişebilirsiniz.
Tags: bypass kit, fail open, snort IPS
Snort IPS(Saldırı Engelleme Sistemi) Eğitimi 10-11 Temmuz 2010
Günümüz sınır güvenliğinin en önemli bileşeni Saldırı Engelleme Sistemleri hakkında uygulamalı bilgi sahibi olmak ve bu işi profesyonel olarak yapmak isteyenler için kaçırılmayacak eğitim fırsatı…
Eğitim kontenjanımız 10 kişiyle sınırlıdır.
Eğitim içeriği Snort Certified Professional (SnortCP) ile uyumludur.
Snort IPS eğitimi ileri seviye bir eğitim olduğu için katılımcıların orta seviye TCP/IP bilgisine sahip olmaları beklenmektedir. TCP/IP güvenliği konusunda yeterlililik durumunuzu görmek için aşağıdaki değerlendirme sınavlarını kullanabilirsiniz.
Eğitim içeriği hakkınde detay bilgi almak ve kayıt için http://www.bga.com.tr/?p=1459
Saldırı Tespit Sisteminiz(Snort) Paket Kaçırıyor mu?
Snort kullanılan ortamlarda en önemli parametrelerden biri Snort’un trafiğin ne kadarını işleyebildiğidir. Çeşitli sebeplerden dolayı Snort paket kaçırıyor olabilir.
Read more »
Tags: snort performans
Snort kullanarak Ultrasurf engelleme
Linux-güvenlik listesinde hararetli bir şekilde Ultrasurf’u engelleme konusu tartışılıyordu. Arkadaşlardan biri Ultrasurf’ün SSL bağlantısı kurarken kullandığı Client Hello mesajlarının Ultrasurf için klasik uygulamalardan farklı olduğunu bulmuş.
Buradan yola çıkarak 443. port’da bu değerin geçtiği paketleri yakalayıp engelleyerek Ultrasurf’ün sunuculara bağlantısı engellenebilir.
Gerçekten çalışıyor mu, false positive oranı nedir diye çalakalem bir Snort kuralı yazıp test ettim, evet problemsiz çalışıyor gözüküyor. Tabi Ultrareach(Ultrasurf gelistiricileri) yeni sürümlerde bu değeri değiştirirse kuralın da güncellenmesi gerekecek.
alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg:”Ultrasurf Kullanimi!”; flow:to_server,established; content:”|16030100410100003d0301|”; classtype:policy-violation; sid:1000099;)
Snort_inline kullanıyorsanız alert yerine drop, flexresp2 kullanıyorsanız kuralın sonuna resp:reset_both eklemeniz gerekir.
Güncelleme: Hex değerini biraz inceleyince aşağıdaki sonuçlar çıktı. (Özet olarak bu imza ile false positive üretebilir)
16030100410100003d0301 hex ifadesinde normal TLS bağlantılarından farklı tek şey Length değerleri. Ultrasurf’e ait Length değerleri eğer değişirse ya da aynı değerleri kullanan başka uygulamalar varsa onlar da engellenecektir.
16: Content Type: Handshake
03 01: Version TLS1.0
00 41: Length 65
01: Handshake Type: Client Hello
00 00 3d: Length 61
03 01:Version TLS1.0
Kaynak: http://pere.bocairent.net/?p=57
Tags: snort ultrasurf
Hangi Snort Kuralı Ne İşe Yarar?
Snort -Saldırı Tespit ve Engelleme Sistemi- kuralları/imzaları tekil numaralara sahiptir(SID). Bir kural/imzanın ne yaptığına , hangi sistemlere yönelik bir açıklığı engellediği, false positive oranı vs gibi bilgilere derli toplu erişmek pek kolay değil. Read more »
Tags: Snort
Snort’u iş ortamlarında kullanma
Snort 3.5~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır. Snort’u temel alarak geliştirilen Sourcefire 3D sistemi Gartner raporlarında hep en üst sıralarda yer almaktadır.
Bu yazıda Snort’un güçlü yanları ve iş ortamlarında kullanma için yapılması gerekenleri aktaracağım. Bu satırların yazarı Snort’u yaklaşık ilk tanıdığı günden beri her ortamda çeşitli amaçlarla başarıyla ve övünerek kullanmaktadır. Bu ortamlar 2 Mb hattan 2 Gb hatta kadar uzanmaktadır.
Kısa özet: Snort eğer iyi yapılandırılırsa -ki bayağı emek ister- iş ortamlarında en az ticari muadilleri kadar başarılı olur. Ama günümüzde Snort’un kullanımı genelde IPS olarak değil IDS olarak yaygındır ve iyi yapılandırılmadığı için verimli kullanılamamaktadır. Read more »
Tags: Snort
Snort Saldırı Tespit ve Engelleme Sistemi Eğitimi
1-2 Mayıs 2010 tarihlerinde Snort Saldırı Tespit ve Engelleme Sistemi eğitimi açılacaktır.
Eğitime katılanlar günümüzde ağ güvenliği denildiğinde akla ilk gelen bileşen IPS’ler hakkında detay ve uygulamalı bilgi sahibi olacaklar ve Snort’u gerçek ağ ortamlarında kullanabilmek için gerekli bilgiyi edinecekler.
Eğitim ileri düzey bir eğitim olduğu için öncesinde katılımcılara ücretsiz olarak “Online TCP/IP Güvenliği” eğitimi hediye edilecek ve online sınav yapılacaktır.
Eğitim sonrası katılımcılar “Snort Certified Professional (SnortCP)” sertifikasına hazır hale geleceklerdir. Read more »
[Makale] SYNFlood saldırıları ve korunma yolları
En sık karşılaşılan ve genel olarak teknik detayı tam bilinmediği için şehir efsanesine dönmüş Syn Flood DDOS saldırılarıyla ilgili bir yazı hazırladım. Konuya ilgi duyanlar http://www.guvenlikegitimleri.com/new/calismalar/synflood.pdf adresinden erişip okuyabilirler.
Yazının fazla uzamasından dolayı bazı detaylara fazlasıyla yer veremedim, başka bir yazıda değinilmeyen detayları da yazmaya çalışacağım.
