« GSM guvenligi uzerine calismalar | Home | Bilgi Guvenliginde Standartlasma ve Bilinc Duzeyi »
Network problemlerinde olaya yaklasım farki
By Huzeyfe ONAL | August 24, 2007
Telekomun guzel uygulamalarindan biri de ADSL baglantisi icin verdigi IP adresleri spam listelerine girmisse(hangi spam listesi, kim tutuyor bunlarin kayitlarini bilmiyoruz)bu adreslerden disari SMTP trafigine izin vermiyor.
Diger protokollere ait trafikler rahatlikla gecerken SMTP trafigi takiliyor.Amacim yapilan uygulamayi elestirmek ya da ortaya cikarmak degil. Uygulamanin bu sekilde oldugunu bir musterisinde troubleshooting yaparken kesfeden arkadasimin(Erhan YUKSEL) olaya bakis acisini anlatmak.
Normal bir ag muhendisinin boyle bir durumla karsilastiginda yapacagi cok fazla bir islem yok. Ya “Telekomdur ne yaparsa yeridir” diyerek vazgecer, ya ip adresini degistirmeye calisir ya da problemin kendi sistemin oldugunu dusunerek ugrasmaya baslar. Kullandigi isletim sistemine gore benim aklima dahi getirmeyecegim cesitli yontemleri de deneyebilir:).
Dikkatli, bilgili ve hedefe yonelik calisan bir ag muhendisinin olaya yaklasimi ise su sekilde olmalidir(olur): “Ben hedef sistemin X portuna ulasabiliyor ve Y portuna ulasamiyorsam ya benim guvenlik duvari ayarlarimda ya da arada bir yerde bu baglanti engelleniyor olmali.”
Aksiyon olarak da “Bunu belirlemenin en kolay yolu bir sniffer calistirmaktir diyerek ilgili sistem uzerinde denemeler yapmak.” seklinde dusunur.
Arkadasimin konu ile ilgili gonderdigi maili -Benim cok hosuma giden - aynen aktariyorum.
” Alakasiz olacak ama yararli oldugunu dusundugum bir maruzatim var.Tespit etmesi benim acimdan uzun surdu. Telekom’un yeni bir uygulamasi oldugunu dusundugum bir sey var bir yerden spam geldigini dusunuyorsa veya ip hosuna gitmemis ise ordan gelen 25. port isteklerini bir icmp paketi ile reddediyor.
mail-server# telnet yahoo.com 70 Trying 226.209.222.235… Connected to yahoo.com (226.209.222.235). Escape character is ‘^]’. ^]quit
Connection closed.
mail-server# telnet yahoo.com 25 Trying 226.209.222.235… telnet: Unable to connect to remote host: No route to host
yukaridaki durum garip ip katmaninda bir hata gibi gorunuyor ama portnumarasi degisince durum degisiyor. Durum daha net tcpdump ile anlasildi.
mail-server# tcpdump -i any -nn icmp
20:20:06.962994 75.205.24.2 > 77.247.77.XX: icmp: host 226.209.222.235unreachable - admin prohibited filter [tos 0x20] 20:20:06.969392 75.205.24.2 > 77.247.77.XX: icmp: host 66.94.234.23unreachable - admin prohibited filter [tos 0x20]
Telnet cekince 25. port a yukaridaki gibi bir icmp paketi donuyor. Adamlar haber de vermiyorlar. Musterilerin mailq da binlerce mail birikiyor. Yakinda savciliktan spam gondermedigimize dair temiz kagidi istenecek haberiniz ola.
Topics: Network Security |
August 27th, 2007 at 2:15 pm
Merhaba, Geçen gün aynı olay benim de başıma geldi. Neyse ki birilerinin bu olayla daha önce karşılaşmış olması ve de sorunu tespit olması çok işime yaradı. Kısa sürede telekomla iletişime geçip sıkıntıyı çözdük. Erhan’a teşekkürler.
September 3rd, 2007 at 11:02 am
Türkan ve Erhan Bey’ler bu meseleyi nasıl çözmüşler son olarak?
September 3rd, 2007 at 2:24 pm
http://karaliste.ttnet.net.tr/iletisim.php bağlantısından formun ilgili yerlerini doldurarak karalisteden çıkabilirsiniz.
September 3rd, 2007 at 4:12 pm
http://karaliste.ttnet.net.tr adresine girip formu doldurdum. Benimle hemen ilgilenip blokajı açtılar. Kendilerine çok teşekkür ediyorum. Bana yardımı dokunan Serkan Bey’e, Türkan Hanım’a, Huzeyfe (oldukça ilginç bir isim) Bey’e çok teşekkür ederim.
October 5th, 2007 at 12:11 pm
Arkadaşlar merhaba,
Türk Telekom olarak bu uygulamanın yapılmasını sebebini az çok tahmin ediyorsunuzdur.
Umarım bir gün MAPS,AOL,Hotmail Uce-Protect vs gibi sitelerin karalistelerine girmezsiniz, sistem yöneticisi olarak bunun ne kadar zor bir süreç olduğunu aynı zamanda bende biliyorum.
Umarım bu ve bunun gibi bilgiler internette daha çok yayılır ve umarım her kullanıcı sizler gibi gerçek testlerini yaparak sorunu anlamaya çalışır.