Bu yazı Snort’un güçlü yanları ve iş ortamlarında kullanımı için bilinmesi gereken temel hususları içermektedir ve Snort hakkında yanlış bilinen birçok konuyu da aydınlatmaktadır.

Kısa özet: Snort eğer iyi yapılandırılırsa -ki bayağı emek ister- iş ortamlarında en az ticari muadilleri kadar başarılı olur. Ama günümüzde Snort’un kullanımı genelde IPS olarak değil IDS olarak yaygındır ve iyi yapılandırılmadığı için verimli kullanılamamaktadır. Bu sebeple Snort kelimesinin geçtiği ortamlarda şu tip yakınmalar sık duyulmaktadır: “Snort yüksek trafiklerde iş göremez”, “Snort sadece imza tabanlı bir IPS sistemidir”, “Snort, yeterli protokol tanıma desteğine sahip değildir”, “Snort, çok false positive üretmektedir”…. Bu yakınmalar, eğer bilinçli olarak yapılmıyorsa bilgisizce yapılıyor demektir.

Snort’u iş ortamlardında başarıyla kullanmak için yapılması gereken en temel şey saldırı tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisini geliştirmektir. TCP/IP bilgisi olmadan yönetilecek herhangi bir IDS/IPS şirketinize bir fayda getirmeyecektir, sadece kendinizi güvende hissetmenizi sağlayacaktır. Türkiye’de tamamı orta ve büyük ölçekten oluşan 100 şirkete yapılan IPS kullanım anketinin sonuçları Türkiye’de IPS/IDS kullanımının tamamen nazar boncuğu görevini yerine getirdiğini gösteriyor.

Ankete katılan kurumların %97′indeki IPS çok basit bir iki yöntemle aşılabiliyor. Yine ankete katılanlardan hiç bir firma aldıkları IPS’i detaylı test etmemişler. Daha çok NSS ve Gartner raporlarına dayanarak satın alımlar yapılmış. Anketten çıkan önemli bir sonuç da %85 oranında firmaların IPS’in bugüne kadar ciddi bir saldırıyı engellemediğini düşünüyor…

Kısacası Türkiye’de alınan IPS ürünleri amacına uygun kullanılmamaktadır. Bunun temel sebebi de IPS yöneticilerindeki TCP/IP bilgisi eksikliğidir ve IPS’i satanların sattıkları ürünü sihirbaz olarak pazarlayıp firmaları bir nevi “kandırmalarıdır”. IPS, Firewall, router gibi statik bir sistem değildir, sadece mantık kuralları işlemez, detay bilgi gerektirir ve bu bilgiden yoksun IPS yöneticilerinin yönettiği sistemler korunmasızdır.

Aşağıdaki maddeler Snort’u kişisel bilgisayarından tutun da gigabit ağlara kadar her ortamda denemiş, tecrübeli bir snort kullanıcısının tavsiyeleridir.

* Snort’u gerçekten amacına uygun olarak kullanabilmek için mutlaka bir GUI gerekmektedir. Ne kadar uzmanı olursanız olun sizden başka sistem/güvenlik yöneticilerinin de Snort’u kullanabilmesini istiyorsanız mutlaka bir gönetim arabirimi kullanın.
* Logları analiz etmek için base ya da Aanval gibi bir analiz/raporlama sistemi kullanın. Ve günlük olarak loglara bakmaya çalışın.
* Ağ yapınızı çıkarın ve sadece korumak istediğiniz servislere ait snort imzalarını aktif edin. Snort ile birlikte 10.000 civarı saldırı imzası gelmektedir. Bunların hepsi açılırsa Snort ciddi performans kaybına uğrayacaktır ve daha da önemlisi Snort’un üreteceği alarmlar fazla olacağı için gerçek alarmları yakalayamayacaksınız.
* Mutlaka Snort’un lisanslı kural/imzalarını kullanın. Ek olarak Bleeding Snort kurallarını da inceleyerek itiyaç duyduklarınızı ekleyin.
* Snort’u SnortSam ya da inline özelliğiyle kullanın. False positivelerden kaçınmak için kendinize ait sunucuları beyaz listelere ekleyin.
* Default ayarlarıyla Snort’u en fazla 40-50 Mb trafikte kullanabilirsiniz. Bundan fazlasında paket kayıpları oluşmaya başlayacaktır. Performans için bir dünya ayar var bunları araştırın ya da Snort eğitimine katılıp gigabit ağlarda Snort’un nasıl kullanılacağını öğrenin.
* Intel ağ kartı tercih edin.
* Hattınız gigabit olmasa da gigabit ağ kartları tercih edin.
* Snort’u daha performanslı kullanmak için barnyard2 eklentisini kullanın.
* Mysql’e perfoprmans ayarları yapın
* Asimetrik trafik kullanıyorsanız Snort’un gelen–giden trafiği tamamen gördüğünden emin olun. Gerekirse gelen ve giden bağlantıları bridge yaparak Snort’a verin.
* Snort birden fazla CPU kullanamayacağı için tek bir CPU’yu Snort’un hizmetine verin. Gerekirse birden fazla Snort’u farklı işlemcilerde çalıştırarak manuel yük dağılımı gerçekleştirin.
* Klasik libpcap kullanmayın yerine daha performanslı eklentileri araştırın
* Kullanmadığınız protokollere ait preprocessorları kapatın.
* Son olarak Snort’u hem Firewall’un dışını hem de iç tarafını dinleyecek şekilde yapılandırın ve farklı ayarlarla kullanın.
* Snort inline olarak yerleştirilmişse fail open kit kullanın

Aslında burada yazılı olanlar sadece Snort için değil tüm IPS sistemleri için geçerlidir. Özellikle ticari IPS yazılımı kullanan güvenlik yöneticilerinin mutlaka Snort kurcalamalarını önerilmektedir, bunun temel sebebi ticari ürünler kapalı olduğu için IPS çalışma mantığının ürünler üzerinde tam anlaşılamamasıdır.

Snort’u kurcalayarak bir IDS/IPS nasıl çalışır, hangi durumlarda saldırı uyarısı verir, hangi paketleri normal, hangilerini anormal olarak tanımlar rahatlıkla öğrenilebilir.

The post Kurumsal İş Ortamlarında Snort Kullanımı first appeared on Complexity is the enemy of Security.

Phil Woods tarafından eklemeler yapılmış libpcap sürümünü indirip kurmak için http://public.lanl.gov/cpw/ adresinden gerekli dosyalar indirilmelidir.

Phil Woods tarafından libpcap üzerinde yapılan geliştirmelerin ne işe yaradığını teknik olarak incelemek isteyenler http://public.lanl.gov/cpw/pcapREADME.html adresinden başlayabilir. Snort içerisinde değişik libpcap sürümleri için seçenekler vardır. Bu seçeneklerden biri de  PCAP_FRAMES değerinin belirtilmesidir. Eğer PCAP_FRAMES değeri belirtilmediyse Snort aşağıdakine benzer bir uyarı verecektir.

Genellikle bu hata alınır.

Bu uyarıyı almamak için Snort başlatılırken PCAP_FRAMES=xyz gibi bir değer verilebilir. Burada tavsiye edilen değer “max” dır.

root@seclabs~#PCAP_FRAMES=”max” snort -c /etc/snort/snort.conf -D -i br0

NOT: PCAP_FRAMES özelliği sadece Phill Woods tarafından geliştirilen libpcap sürümünde işe yarayacağı için klasik libpcap kullanımlarında PCAP_FRAMES değerine birşey atansa bile işe yaramayacaktır.

The post Snort Kullanımında “Not using PCAP_FRAMES” Hatası first appeared on Complexity is the enemy of Security.

Eğitim kontenjanımız 10 kişiyle sınırlıdır.

Eğitim içeriği Snort Certified Professional (SnortCP) ile uyumludur.

Snort IPS eğitimi ileri seviye bir eğitim olduğu için katılımcıların orta seviye TCP/IP bilgisine sahip olmaları beklenmektedir. TCP/IP güvenliği konusunda yeterlililik durumunuzu görmek için aşağıdaki değerlendirme sınavlarını kullanabilirsiniz.

http://www.bga.com.tr/?p=1400

http://www.bga.com.tr/?p=1301

Eğitim içeriği hakkınde detay bilgi almak ve kayıt için http://www.bga.com.tr/?p=1459

The post Snort IPS(Saldırı Engelleme Sistemi) Eğitimi 10-11 Temmuz 2010 first appeared on Complexity is the enemy of Security.

Bu konuda Snort kullanıcılarına yardımcı olmak amacıyla geliştirilmiş snortid.com adresi kullanılabilir. Snortid.com adresine girilecek herhangi bir snort ID’sine karşılık o kuralla ilgili tüm bilgiler ekrana dökülecektir.

The post Hangi Snort Kuralı Ne İşe Yarar? first appeared on Complexity is the enemy of Security.

6 yıldır eğitmenlik hayatımda bu tip detay bilgi öğreten eğitimlere talep hiç bu kadar yüksek olmamıştı. Daha çok saldırma yöntemlerini öğreten eğitimlerde yaşardık bu talep fazlalığını… Nazar değmesin diyerek katılan arkadaşları takdir ve tebrik ediyorum. Eğitim sonrası Türkiye’de saldırı tespiti ve engelleme konusunda gerçek manada bilgi sahibi olup, sıfırdan bir IPS’i kurup yönetecek seviye geleceklerini umuyorum.

Eğitim öncesi katılımcıların seviyesini belli bir eşik değerinin üzerine çıkarmak için TCP/IP eğitimi hediye etmiştik .Online eğitim sonrası da kendilerini sınamaları için 75 soruluk sınav hazırladım. Bu sınavı -konu önemli olduğu için- herkese açıyoruz. TCP/IP konusunda kendinizi temel seviyenin üstünde görüyorsanız bu sorulardan en az 60 tanesini doğru cevaplıyor olmalısınız. Cevap anahtarları bir hafta sonra yine buradan duyurulacak.

Sorular

Sonraki haftalarda biraz daha uzmanlık gerektiren 75 soru daha yayınlayacağım.

The post Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları first appeared on Complexity is the enemy of Security.

Snort 3.5~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır. Snort’u temel alarak geliştirilen Sourcefire 3D sistemi Gartner raporlarında hep en üst sıralarda yer almaktadır. 

Bu yazıda Snort’un güçlü yanları ve iş ortamlarında kullanma için yapılması gerekenleri aktaracağım. Bu satırların yazarı Snort’u yaklaşık ilk tanıdığı günden beri her ortamda çeşitli amaçlarla başarıyla ve övünerek kullanmaktadır. Bu ortamlar 2 Mb hattan 2 Gb hatta kadar uzanmaktadır.

Kısa özet: Snort eğer iyi yapılandırılırsa -ki bayağı emek ister- iş ortamlarında en az ticari muadilleri kadar başarılı olur. Ama günümüzde Snort’un kullanımı genelde IPS olarak değil IDS olarak yaygındır ve iyi yapılandırılmadığı için verimli kullanılamamaktadır.

Snort’u iş ortamlardında başarıyla kullanmak için yapılması gereken en temel şey saldırı tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisini geliştirmektir. TCP/IP bilgisi olmadan yönetilecek herhangi bir IDS/IPS şirketinize bir fayda getirmeyecektir, sadece kendinizi güvende hissetmenizi sağlayacaktır. Türkiye’de tamamı orta ve büyük ölçekten oluşan 100 şirkete yaptığım IPS kullanım anketi(bireysel bir anketdir ve sonuçları yakında detaylı açıklanacaktır)nin sonuçları Türkiye’de IPS/IDS kullanımının tamamen nazar boncuğu görevini yerine getirdiğini gösteriyor.

Ankete katılan kurumların %95’indeki IPS çok basit bir iki yöntemle aşılabiliyor. Yine ankete katılanlardan hiç bir firma aldıkları IPS’i detaylı test etmemişler. Daha çok NSS ve Gartner raporlarına dayanarak satın alımlar yapılmış. Anketten çıkan önemli bir sonuç da %85 oranında firmaların IPS’in bugüne kadar ciddi bir saldırıyı engellemediğini düşünüyor…

Kısacası Türkiye’de alınan IPS ürünleri amacına uygun kullanılmamaktadır. Bunun temel sebebi de IPS yöneticilerindeki TCP/IP bilgisi eksikliğidir ve IPS’i satanların sattıkları ürünü sihirbaz olarak pazarlayıp firmaları bir nevi kandırmalarıdır:)

• Snort’u gerçekten amacına uygun olarak kullanabilmek için mutlaka bir GUI gerekmektedir. Ne kadar uzmanı olursanız olun sizden başka sistem/güvenlik yöneticilerinin de Snort’u kullanabilmesini istiyorsanız mutlaka bir gönetim arabirimi kullanın.
• Logları analiz etmek için base ya da Aanval gibi bir analiz/raporlama sistemi kullanın. Ve günlük olarak loglara bakmaya çalışın.
• Ağ yapınızı çıkarın ve sadece korumak istediğiniz servislere ait snort imzalarını aktif edin. Snort ile birlikte 10.000 civarı saldırı imzası gelmektedir. Bunların hepsi açılırsa Snort ciddi performans kaybına uğrayacaktır ve daha da önemlisi Snort’un üreteceği alarmlar fazla olacağı için gerçek alarmları yakalayamayacaksınız.
• Mutlaka Snort’un lisanslı kural/imzalarını kullanın. Ek olarak Bleeding  Snort  kurallarını da inceleyerek itiyaç duyduklarınızı ekleyin.
• Snort’u SnortSam ya da inline özelliğiyle kullanın. False positivelerden kaçınmak için kendinize ait sunucuları  beyaz listelere ekleyin.
• Default ayarlarıyla Snort’u en fazla 40-50 Mb trafikte kullanabilirsiniz. Bundan fazlasında paket kayıpları oluşmaya başlayacaktır. Performans için bir dünya ayar var bunları araştırın ya da Snort eğitimine katılıp gigabit ağlarda Snort’un nasıl kullanılacağını öğrenin.
• Intel ağ kartı tercih edin.
• Hattınız gigabit olmasa da gigabit ağ kartları tercih edin.
• Snort’u daha performanslı kullanmak için barnyard2 eklentisini kullanın. 
• Mysql’e perfoprmans ayarları yapın
• Asimetrik trafik kullanıyorsanız Snort’un gelen–giden trafiği tamamen gördüğünden emin olun. Gerekirse gelen ve giden bağlantıları bridge yaparak Snort’a verin.
• Snort birden fazla CPU kullanamayacağı için tek bir CPU’yu Snort’un hizmetine verin. Gerekirse birden fazla Snort’u farklı işlemcilerde çalıştırarak manuel yük dağılımı gerçekleştirin.
• Klasik libpcap kullanmayın yerine daha performanslı eklentileri araştırın
• Kullanmadığınız protokollere ait preprocessorları kapatın.
• Son olarak Snort’u hem Firewall’un dışını hem de iç tarafını dinleyecek şekilde yapılandırın ve farklı ayarlarla kullanın.

Aslında burada yazılı olanlar sadece Snort için değil tüm IPS sistemleri için geçerlidir. Ben özellikle ticari IPS yazılımı kullanan arkadaşlara mutlaka Snort kurcalamalarını öneriyorum zira ticari ürünler kapalı olduğu için IPS çalışma mantığını onları kullanarak öğrenilemez.

The post Snort’u iş ortamlarında kullanma first appeared on Complexity is the enemy of Security.

1-2 Mayıs 2010 tarihlerinde Snort Saldırı Tespit ve Engelleme Sistemi eğitimi açılacaktır.

Eğitime katılanlar günümüzde ağ güvenliği denildiğinde akla ilk gelen bileşen IPS’ler hakkında detay ve uygulamalı bilgi sahibi olacaklar ve Snort’u gerçek ağ ortamlarında kullanabilmek için gerekli bilgiyi edinecekler.

Eğitim ileri düzey bir eğitim olduğu için öncesinde katılımcılara ücretsiz olarak “Online TCP/IP Güvenliği” eğitimi hediye edilecek ve online sınav yapılacaktır.

Eğitim sonrası katılımcılar “Snort Certified Professional (SnortCP)” sertifikasına hazır hale geleceklerdir.

Eğitimle ilgili tüm bilgiler http://www.guvenlikegitimleri.com/new/snort-saldiri-tespit-ve-engelleme-sistemi-egitimi adresinden edinilebilir.

 Eğitim İçeriği

1. TCP/IP Protokol Ailesi
2. TCP/IP’ye dayalı saldırı tipleri
3. Ağ trafik analizi
   • tcpdump kullanımı
   • tcpdump çıktılarını analiz etme
   • ethereal ile ağ trafik analizi
4. Protokol analizi
   • arp tabanlı saldırı çeşitleri
   • IP, ICMP tabanlı salsırı çeşitleri
   • TCP, UDP’ye dayalı saldırı tipleri
   • http, ftp, telnet, smtp protokolleri analizi
   • ssh, ssl protokol analizleri
5. IDS, IPS, NIDS, NIPS Tanımları
6. IDS/IPS(salsırı tespit ve engelleme) teknolojileri
7. IDS/IPS  yerleşim planlaması
8. Açık kod IDS/IPS Araçları
   • Snort, BroIDS
9. Snort’a GİRİŞ
   • Snort mimarisi
10. Snort Kurulumu
    •   Windows
    •   Linux
    •   FreeBSD/OpenBSD
11. Snort Çalışma modları
    •   Sniffer
    •   Paket loglayıcı
    •   NIDS/NIPS
12. Snort’u (N)IDS olarak yapılandırma
13. IDS Kurallarını Anlama ve Yorumlama
14. Snort Kural dili ile IDS Kuralları  Yazma
15. Saldırı analizi ve ileri düzey kural yazımı
16. Saldırı Loglarını inceleme ve Yorumlama
17. Snort performans ayarları
18. Snort’u NIPS olarak Kullanma
    • Snort’u ağ trafiği için virüs tarama aracı olarak kullanma
    •  WEB saldırılarında Snort kullanımı ve engelleme
19. Snort Yönetim araçları
    • saldırı  İzleme araçları
    • sensör  yönetim araçları
    • kural yazım araçları
20. IDS/IPS atlatma araçları ve korunma yöntemleri
    • Nmap
    • Nessus
    • Metasploıt
    • ftester

The post Snort Saldırı Tespit ve Engelleme Sistemi Eğitimi first appeared on Complexity is the enemy of Security.