OpenVPN & OpenBSD’i sistem hesaplarini kullanacak sekilde yapilandirmak
Thursday, May 8th, 2008Acik kaynak SSL VPN cozumu OpenVPN‘nin onaylama mekanizmasi icin sistem hesaplarini kullanmak PAM altyapisi kullanmayan sistemlerde(OpenBSD gibi) pek mumkun gozukmuyor.
Bunun icin kendiniz bir betik/program yazarak sistem kullanicilarini OpenVPN ile calisacak hale getirebilirsiniz. Bunun icin piyasada kullanabilecek cesitli alternatifler var. Benim test ettigim ve kullandigim openvpn-auth-passwd isini oldukca iyi yapiyor.
OpenBSD “tcp window size” degeri ile ag performansini artirmak
Wednesday, May 7th, 2008OpenBSD GENERIC kernel da performans amacli olarak tcp windows size degeri 16k olarak belirlenmistir. Bu da sizin ne kadar iyi hattiniz olursa olsun belli bir hiz degerini asamayacaginiz manasina gelir. Bu degiskenin degeri maksimum 64k olabilir. Degistirmek icin asagidaki sysctl kullanilabilir.
#sysctl -w net.inet.tcp.recvspace=65535
#sysctl -w net.inet.tcp.sendspace=65535
FreeBSD için öntanımlı değer;
#sysctl net.inet.tcp.sendspace
net.inet.tcp.sendspace: 32768
OpenBSD Trunk ile donanim seviyesinde yuksek bulunurluk
Wednesday, May 7th, 2008OpenBSD 3.8 ile birlikte gelen trunk(4) ozelligi birden fazla ethernetin ayni ya da farkli switch’e baglanarak tek bir arabirimmis gibi davranmasina olanak veriyor. Daha basitce ifade edilecek olursa OpenBSD makinemizdeki iki ethernet karti trunk ile tek bir ethernet karti gibi davranabiliyor ve ethernet kartlarindan birinde problem olsa bile diger ethernet karti uzerinden sistemin ag islevleri [...]
OpenBSD’yi Network TAP olarak Kullanmak
Wednesday, May 7th, 2008Iki ag arasindaki trafigi mudahele etmeden izlemek istiyorsaniz(ya da IDS vs amacli mudahele ederek) araya bir TAP yerlestirmeniz gerekli. Bu tap ozelde bir donanim olabilecegi gibi 3 bacakli Open/FreeBSD bir makine de olabilir. Basitce yapilacak olan trafigin akacagi iki bacagi bridge modda calistirarak bu bacaklardan trafigin normal sekilde akmasi ve buradan akan trafigin belirleyecegimiz 3. [...]
tcptraceroute, hping gibi kesif araclarindan korunma(OpenBSD PF ile)
Wednesday, May 7th, 2008Ag/host kesifleri yaparken genelde traceroute, tcptraceroute, firewalk ve hping gibi araclar kullanilir. Bu araclarin temel ozelligi IP basligindagi TTL alanini kullanmalaridir.
Gunumuzde artik traceroute’a acik aglari pek goremiyoruz, cogu guvenlik duvarlari tarafindan engelleniyor fakat tcptraceroute gibi araclar ile guvenlik duvarlari arkasindaki hostlarin varligi rahatlikla gorulebiliyor.
mesela www.microsoft.com’un onunde Fw var mi diye bakmak istersek
#tcptraceroute www.microsoft.com 80
gibi bir [...]
OpenBSD 4.3 Yayinlandi
Friday, May 2nd, 2008Ailemizin en guvenli isletim sistemi OpenBSD’nin 4.3 surumu 1 Mayis 2008 tarihinde yayinlandi. Bircok degisiklik var.
Direkt ftp.openbsd.org adresinden indirilebilir.(install43.iso dosyasinin indirilmesi kurulum icin yeterli olacaktir *).
OpenBSD 4.2 Yayinlandi
Friday, November 2nd, 2007
Ailemizin isletim sistemi OpenBSD’nin 4.2 surumu Kasim 1 2007 itibari ile cikmis durumda. Resmi duyuruya bu adresten ulasabilirsiniz. Benim icin ayri bir onemi var bu surumun.
OpenBSD kullanmaya 3.2+ surumu ile baslamistim … Aradan kocaman bir 10 surum gecmis. Her surum 6 ay manasinda geldigine gore ortalama 5 yil olmus. Benim gibi degisken birinin 5 [...]
ComixWALL Internet Security Gateway
Tuesday, October 9th, 2007ComixWALL OpenBSD tabanli ilk Internet Guvenlik Gecidi(Internet Security Gateway) ozelliklerini barindiran acik kaynak kodlu, ucretsiz kullanılabilen bir proje.
Ilk bakista cesitli isletim sistemleri ile birlikte denenen son donemin populer urunleri UTM’lere karsi guclu ve saglam bir alternatif olarak kullanilabilecek ozelliklere sahip gorunuyor.
Projeyi yuruten arkadasin Turkiye’den olmasi da ortaya cikan urunu daha onemli ve [...]
OpenBSD PF adres araligi destegi
Monday, August 27th, 2007OpenBSD PF’deki en buyuk eksikliklerden biri filtreleme islemlerinde IP aralıgı kullanılamaması idi. Bu ozelligi farklı yollardan (cidr) az da olsa yapabiliyorduk fakat tam bir esneklik saglamiyordu. Nihayet PF ana gelistiricisi Daniel Hartmeier gelen isteklere daha fazla dayanamayarak @tech listesine bu destegi bir sonraki surumde eklediklerini aciklayan bir yama gonderdi.
Bundan sonra PF kullanarak
pass from 10.1.1.128 [...]
OpenBSD PF & uRPF kullanarak Spoofed paketlerle Mucadele
Wednesday, August 15th, 2007OpenBSD 4.0 PF ile gelen onemli ozelliklerden biri de uRPF destegidir. URPF(Unicast Reverse Path Forwarding) kisaca gelen paketin kaynak ip adresinin yonlendirme tablosu ile karsilastirilmasi sonucu paketin uygun arabirimden gelip gelmediginin kontrol eder.
Gecmiste kullanilan cogu DOS, DDOS aracinin calisma prensipleri kaynak ip adreslerini random olarak degistirerek hedef sistemleri yormak oldugu [...]