Honeypot | Complexity is the enemy of Security

Snort Saldırı Tespit ve Engelleme Sistemi Eğitimi

Huzeyfe ONAL — Thu, 25 Mar 2010 09:39:44 +0000

1-2 Mayıs 2010 tarihlerinde Snort Saldırı Tespit ve Engelleme Sistemi eğitimi açılacaktır.

Eğitime katılanlar günümüzde ağ güvenliği denildiğinde akla ilk gelen bileşen IPS’ler hakkında detay ve uygulamalı bilgi sahibi olacaklar ve Snort’u gerçek ağ ortamlarında kullanabilmek için gerekli bilgiyi edinecekler.

Eğitim ileri düzey bir eğitim olduğu için öncesinde katılımcılara ücretsiz olarak “Online TCP/IP Güvenliği” eğitimi hediye edilecek ve online sınav yapılacaktır.

Eğitim sonrası katılımcılar “Snort Certified Professional (SnortCP)” sertifikasına hazır hale geleceklerdir.

Eğitimle ilgili tüm bilgiler http://www.guvenlikegitimleri.com/new/snort-saldiri-tespit-ve-engelleme-sistemi-egitimi adresinden edinilebilir.

Eğitim İçeriği

TCP/IP Protokol Ailesi
TCP/IP’ye dayalı saldırı tipleri
Ağ trafik analizi
- tcpdump kullanımı
- tcpdump çıktılarını analiz etme
- ethereal ile ağ trafik analizi
Protokol analizi
- arp tabanlı saldırı çeşitleri
- IP, ICMP tabanlı salsırı çeşitleri
- TCP, UDP’ye dayalı saldırı tipleri
- http, ftp, telnet, smtp protokolleri analizi
- ssh, ssl protokol analizleri
IDS, IPS, NIDS, NIPS Tanımları
IDS/IPS(salsırı tespit ve engelleme) teknolojileri
IDS/IPS yerleşim planlaması
Açık kod IDS/IPS Araçları
- Snort, BroIDS
Snort’a GİRİŞ
- Snort mimarisi
Snort Kurulumu
- Windows
- Linux
- FreeBSD/OpenBSD
Snort Çalışma modları
- Sniffer
- Paket loglayıcı
- NIDS/NIPS
Snort’u (N)IDS olarak yapılandırma
IDS Kurallarını Anlama ve Yorumlama
Snort Kural dili ile IDS Kuralları Yazma
Saldırı analizi ve ileri düzey kural yazımı
Saldırı Loglarını inceleme ve Yorumlama
Snort performans ayarları
Snort’u NIPS olarak Kullanma
- Snort’u ağ trafiği için virüs tarama aracı olarak kullanma
- WEB saldırılarında Snort kullanımı ve engelleme
Snort Yönetim araçları
- saldırı İzleme araçları
- sensör yönetim araçları
- kural yazım araçları
IDS/IPS atlatma araçları ve korunma yöntemleri
- Nmap
- Nessus
- Metasploıt
- ftester

The post Snort Saldırı Tespit ve Engelleme Sistemi Eğitimi first appeared on Complexity is the enemy of Security.

Dokunma yanarsın ya da tarama donarsın!

Huzeyfe ONAL — Thu, 26 Nov 2009 15:53:51 +0000

IstSec’in duyurulmasıyla birlikte sunucularımıza gelen tarama, saldırı ve anormal trafiklerde ciddi bir artış oldu. Evet insanların popüler olan, dikkat çeken birşeye karşı olan hislerini anlayabiliyorum ve bunu dikkate alarak belirli önlemleri almıştık.

Ama hep derim biz güvenlikciler saldırganlar kadar acımasız olamıyoruz, hayal dünyamız onlar kadar geniş olamıyor. Sayfadaki basit bir formu bile DOS yapmada kullanabiliyorlar.

Velhasıl baktım saldırı yapanlar çoğunlukla Windows makine kullanıyor ben de onlara karşı aktif savunma moduna geçtim. Sistemlerden en çok tarama alan bir tanesine yeni çıkmış ve Windows 7 sistemleri etkileyen güvenlik açıklığını yerleştirdim. Açıklık, eğer Windows 7 kullanıyorsanız ve exploitin çalıştığı hosta 445.porttan bağlandıysanız(SMB protokolünü kullanarak) makinenizi kilitliyor. (Port taramalarında da mutlaka 445. portu deneniyor ya da 445. portun acik oldugunu goren hemen paylasim aramaya calisiyor) yani tam bir ava giderken avlanma durumu söz konusu.

Bakalım bizim uber hackerlar makineleri donmaya baslayinca ne yapacak. Benzeri bir yontemi 3g baglantima gelen paylasim arama isteklerine karsi da yapacagim.

The post Dokunma yanarsın ya da tarama donarsın! first appeared on Complexity is the enemy of Security.

Turkiye’den Spam Istatistikleri

Huzeyfe ONAL — Thu, 23 Apr 2009 15:01:42 +0000

Yaklasik bir aydir destek verdigim birkac sunucu uzerinde SPAM mesajlarla ilgili calismalar yapiyorum. Spam yakalama yazılımım(Spamassassin) çok iyi çalışıyor fakat bazen o kadar çok spam geliyor ki bunları yakalamak için sistem kaynaklarını fazlası ile tüketiyor. Ben de bu işi network seviyesinde halletmek için kolları sıvadım ve cesitli yöntemler denemeye başladım.

Calismalarimin bir ayaginda Spamlerin hangi ulkelerden geldigini belirlemek var. Bunun için spam yakalama yazılımlarının loglarından kaynak ip adreslerini alarak basit bir script(ıp-Ülke bulma islemi icin Gokhan Alkan sagolsun GeoIP ile birseyler yazdı) ile hangi ulkelere ait oldugunu bulduruyor ve her ülkenin ne kadar spam gönderdiğini hesaplıyorum.

Sonrasında spam gönderen ülkelerin ne kadar gerçek mail gönderdiğini hesaplayıp bu ülkelerin ip aralıklarına Grey listing uygulayacağım(Dogrudan grey listing çalıştırmıyorum ziragerçek maillerde yavaşlığa sebep oluyor). Böylece ilgili ülkeden gelen spam oranlarını düşürmeyi planlıyorum.

Aşağıdaki istatistikler günde ortalama 600.000 spam alan ve üzerinde sadece Türk firmalarına hizmet veren domainlerin olduğu spam yakalama yazılımlarından aldığım verileri içeriyor.

Görüleceği üzere Turkiye ikinci sırada. Bunun en temel sebebi zombi konumuna düşmüş ADSL aboneleri. TTNet’in bugünlerde duyurduğu çalışma sonrası bakalım bu oran değicek mi?

Vakit buldukça bu istatistikleri güncelleyeceğim ve spam üzerine yaptığım çalışmaların etkisini izleyeceğim.

Spam gönderme oranına göre ülkeler;

Brazil

Turkey

United States

Korea, Republic of

Russian Federation

India

China

Poland

Vietnam

Romania

Colombia

Argentina

Saudi Arabia

Ukraine

Spain

Germany

Thailand

Italy

United Kingdom

Mexico

Chile

Pakistan

Czech Republic

Egypt

Morocco

Indonesia

Bulgaria

Portugal

France

Israel

Peru

Hungary

Greece

Kazakhstan

Netherlands

Philippines

Slovakia

Serbia

Taiwan

Japan

Canada

Dominican Republic

Venezuela

Algeria

Iran, Islamic Republic of

Macedonia

Lithuania

Australia

Belarus

Singapore

Austria

Uruguay

Switzerland

Guatemala

South Africa

Puerto Rico

Satellite Provider

Latvia

Croatia

Sweden

Ireland

Bolivia

Hong Kong

Palestinian Territory

Denmark

El Salvador

Azerbaijan

United Arab Emirates

Costa Rica

Bahrain

Sri Lanka

Slovenia

Kuwait

Malaysia

Trinidad and Tobago

Norway

Bosnia and Herzegovina

None

Qatar

Moldova, Republic of

Libyan Arab Jamahiriya

Panama

Oman

Cote D’Ivoire

Senegal

Montenegro

Ecuador

Uzbekistan

Belgium

Jamaica

New Zealand

Jordan

Sudan

Bangladesh

Nigeria

Mauritius

Estonia

Lebanon

Ghana

Maldives

Cameroon

Georgia

Botswana

Cambodia

Angola

Albania

Cyprus

Mongolia

Macau

Yemen

Ethiopia

Finland

Luxembourg

Haiti

Antigua and Barbuda

Honduras

Kenya

Cape Verde

Kyrgyzstan

Iceland

Nepal

Paraguay

Nicaragua

Lao People’s Democratic Republic

Iraq

Namibia

Brunei Darussalam

Armenia

Burkina Faso

New Caledonia

Grenada

Fiji

Afghanistan

Tanzania, United Republic of

Bahamas

Aruba

Mozambique

Barbados

Suriname

Netherlands Antilles

Syrian Arab Republic

Gabon

Europe

Malta

Benin

Saint Kitts and Nevis

Uganda

Madagascar

Tajikistan

Andorra

Gibraltar

Gambia

Rwanda

Asia/Pacific Region

Congo, The Democratic Republic of the

Belize

Zimbabwe

Faroe Islands

Virgin Islands, U.S.

Zambia

Togo

Saint Vincent and the Grenadines

Northern Mariana Islands

Djibouti

Dominica

Papua New Guinea

Bermuda

Mali

Bhutan

Malawi

Equatorial Guinea

Saint Lucia

San Marino

Lesotho

Liechtenstein

Cayman Islands

Mauritania

Turkmenistan

Virgin Islands, British

Niger

Cuba

Guinea

Turks and Caicos Islands

Guyana

Sierra Leone

Martinique

Liberia

Seychelles

Burundi

Sao Tome and Principe

Swaziland

Monaco

Guam

Tonga

Anguilla

Guadeloupe

Somalia

Central African Republic

Reunion

Solomon Islands

American Samoa

Palau

Marshall Islands

French Polynesia

Guinea-Bissau

Kiribati

Tunisia

Mayotte

British Indian Ocean Territory

Comoros

Antarctica

The post Turkiye’den Spam Istatistikleri first appeared on Complexity is the enemy of Security.

SSH Servisi icin tuzak sistem kurulumu

Huzeyfe ONAL — Sat, 26 Apr 2008 13:27:28 +0000

Guvenligini ustlendigim internete acik sistemlerin son 6 aylik durumunu dusundugumde gelen saldirilarda basi web uygulama acikliklari cekiyor, bunun hemen ardinda ise SSH sunuculara yapilan giris deneyimleri geliyor. SSH sunucularin guvenli yapilandirilmasi cok daha kolay olmasina ragmen hic azimsanmayacak bir oranda basarili giris/sizis yapildigini duyuyorum(kendi sistemlerimde degil:)). SSH servisi disariya acik bir sistem icin en ideal giris kapisi, kapinin uretildigi ham madde ne kadar saglam olursa olsun yeterli onlem alinmayinca birileri bir sekilde giris yolu bulabiliyor demek ki.

Vakti zamaninda SSH sunucuma kimler hangi iplerden geliyor, hangi kullanici adlari ve parolalari deniyor diye merak ederdim. Bunlar icin ssh loglarini ayri bir dosyaya yonlendirerek loglar uzerinde basit unix araclari ile raporlama alabiliyordum fakat loglarda parola bilgileri gozukmuyordu. Bunu da OpenSSH’a bir yama gecerek halletmistim(Yillar sonra bu yama ile baska bir sunucu da daha karsilastim ve parola secimimde radikal degisiklikler yaptim:). Sonralari bu merakim dindi zira loglar incelenemeyecek kadar buyumeye baslamisti.

Hafta sonu uzuun zamandir yapamadigim bir is yapip birikmis e-postalari okudum, bir suru notlar cikardim ve bloga aktarmaya basladim. Notlardan biri de benzeri bir araci daha saglikli bir sekilde yapan bir proje idi. Projenin adi Kojoney. SSH sunucuya gelen isteklerden kimin, hangi ip, ulke uzerinden ne tip bir arac ile(otomatize bir arac mi yoksa insan mi) deneme yaptigi konusunda bilgi edinmek, basarili(!) saldirganlarin sistem uzerinde calistirdigi komutlarin ne oldugunu ogrenemek icin yapilmis bir calisma. Python+Twisted kullanildigi icin eklentiler yapmak oldukca kolay olacaktir.

Detaylar icin: http://kojoney.sourceforge.net/

The post SSH Servisi icin tuzak sistem kurulumu first appeared on Complexity is the enemy of Security.