-O parametresi kullanılarak alınan örneklerde kaynak ve hedef IP adresi alanlarında xxx.xxx.xxx.xxx değeri gözükecektir.

# snort -O -vd
Snort BPF option: …
Running in packet dump mode

–== Initializing Snort ==–
Initializing Output Plugins!
Verifying Preprocessor Configurations!
***
*** interface device lookup found: pflog0
***

Initializing Network Interface pflog0
OpenPcap() device pflog0 network lookup:
pflog0: no IPv4 address assigned
Decoding OpenBSD PF log on interface pflog0

–== Initialization Complete ==–

,,_ -*> Snort! <*- o” )~ Version 2.8.2.1 (Build 16) ”” By Martin Roesch & The Snort Team: http://www.snort.org/team.html (C) Copyright 1998-2008 Sourcefire Inc., et al. Using PCRE version: 7.7 2008-05-07 Not Using PCAP_FRAMES 06/30-20:34:10.870543 xxx.xxx.xxx.xxx:25 -> xxx.xxx.xxx.xxx:35115
TCP TTL:64 TOS:0×0 ID:23256 IpLen:20 DgmLen:68 DF
***AP*** Seq: 0x76B02441 Ack: 0x544CF27E Win: 0xFFFF TcpLen: 20
32 35 30 20 6F 6B 20 31 32 37 37 39 31 39 32 35 250 ok 127791925
30 20 71 70 20 36 32 39 37 34 0D 0A 0 qp 62974..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/30-20:34:10.939840 xxx.xxx.xxx.xxx:17758 -> xxx.xxx.xxx.xxx:25
TCP TTL:64 TOS:0×0 ID:23257 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3A8F4747 Ack: 0×0 Win: 0xFFFF TcpLen: 40
TCP Options (5) => MSS: 1460 NOP WS: 3 SackOK TS: 2581132713 0

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/30-20:34:11.064449 xxx.xxx.xxx.xxx:35115 -> xxx.xxx.xxx.xxx:25
TCP TTL:51 TOS:0×0 ID:51893 IpLen:20 DgmLen:46 DF
***AP*** Seq: 0x83D0FA73 Ack: 0x5DF9D6FF Win: 0×6180 TcpLen: 20
51 55 49 54 0D 0A QUIT..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/30-20:34:11.064509 xxx.xxx.xxx.xxx:25 -> xxx.xxx.xxx.xxx:35115
TCP TTL:64 TOS:0×0 ID:23261 IpLen:20 DgmLen:64 DF
***AP*** Seq: 0x76B0245D Ack: 0x544CF284 Win: 0xFFFF TcpLen: 20
32 32 31 20 6D 61 19 6C 2E 73 69 73 75 65 6D 62 221 mail.siber..
69 6C 2E 63 6F 65 0D 0A il.com..

#man snort
…

-O Obfuscate the IP addresses when in ASCII packet dump mode. This
switch changes the IP addresses that get printed to the
screen/log file to “xxx.xxx.xxx.xxx”. If the homenet address
switch is set (-h), only addresses on the homenet will be obfus-
cated while non- homenet IPs will be left visible. Perfect for
posting to your favorite security mailing list!

The post Snort Çıktılarında IP Adreslerini Gizleme first appeared on Complexity is the enemy of Security.

Bu yazı Snort’un güçlü yanları ve iş ortamlarında kullanımı için bilinmesi gereken temel hususları içermektedir ve Snort hakkında yanlış bilinen birçok konuyu da aydınlatmaktadır.

Kısa özet: Snort eğer iyi yapılandırılırsa -ki bayağı emek ister- iş ortamlarında en az ticari muadilleri kadar başarılı olur. Ama günümüzde Snort’un kullanımı genelde IPS olarak değil IDS olarak yaygındır ve iyi yapılandırılmadığı için verimli kullanılamamaktadır. Bu sebeple Snort kelimesinin geçtiği ortamlarda şu tip yakınmalar sık duyulmaktadır: “Snort yüksek trafiklerde iş göremez”, “Snort sadece imza tabanlı bir IPS sistemidir”, “Snort, yeterli protokol tanıma desteğine sahip değildir”, “Snort, çok false positive üretmektedir”…. Bu yakınmalar, eğer bilinçli olarak yapılmıyorsa bilgisizce yapılıyor demektir.

Snort’u iş ortamlardında başarıyla kullanmak için yapılması gereken en temel şey saldırı tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisini geliştirmektir. TCP/IP bilgisi olmadan yönetilecek herhangi bir IDS/IPS şirketinize bir fayda getirmeyecektir, sadece kendinizi güvende hissetmenizi sağlayacaktır. Türkiye’de tamamı orta ve büyük ölçekten oluşan 100 şirkete yapılan IPS kullanım anketinin sonuçları Türkiye’de IPS/IDS kullanımının tamamen nazar boncuğu görevini yerine getirdiğini gösteriyor.

Ankete katılan kurumların %97′indeki IPS çok basit bir iki yöntemle aşılabiliyor. Yine ankete katılanlardan hiç bir firma aldıkları IPS’i detaylı test etmemişler. Daha çok NSS ve Gartner raporlarına dayanarak satın alımlar yapılmış. Anketten çıkan önemli bir sonuç da %85 oranında firmaların IPS’in bugüne kadar ciddi bir saldırıyı engellemediğini düşünüyor…

Kısacası Türkiye’de alınan IPS ürünleri amacına uygun kullanılmamaktadır. Bunun temel sebebi de IPS yöneticilerindeki TCP/IP bilgisi eksikliğidir ve IPS’i satanların sattıkları ürünü sihirbaz olarak pazarlayıp firmaları bir nevi “kandırmalarıdır”. IPS, Firewall, router gibi statik bir sistem değildir, sadece mantık kuralları işlemez, detay bilgi gerektirir ve bu bilgiden yoksun IPS yöneticilerinin yönettiği sistemler korunmasızdır.

Aşağıdaki maddeler Snort’u kişisel bilgisayarından tutun da gigabit ağlara kadar her ortamda denemiş, tecrübeli bir snort kullanıcısının tavsiyeleridir.

* Snort’u gerçekten amacına uygun olarak kullanabilmek için mutlaka bir GUI gerekmektedir. Ne kadar uzmanı olursanız olun sizden başka sistem/güvenlik yöneticilerinin de Snort’u kullanabilmesini istiyorsanız mutlaka bir gönetim arabirimi kullanın.
* Logları analiz etmek için base ya da Aanval gibi bir analiz/raporlama sistemi kullanın. Ve günlük olarak loglara bakmaya çalışın.
* Ağ yapınızı çıkarın ve sadece korumak istediğiniz servislere ait snort imzalarını aktif edin. Snort ile birlikte 10.000 civarı saldırı imzası gelmektedir. Bunların hepsi açılırsa Snort ciddi performans kaybına uğrayacaktır ve daha da önemlisi Snort’un üreteceği alarmlar fazla olacağı için gerçek alarmları yakalayamayacaksınız.
* Mutlaka Snort’un lisanslı kural/imzalarını kullanın. Ek olarak Bleeding Snort kurallarını da inceleyerek itiyaç duyduklarınızı ekleyin.
* Snort’u SnortSam ya da inline özelliğiyle kullanın. False positivelerden kaçınmak için kendinize ait sunucuları beyaz listelere ekleyin.
* Default ayarlarıyla Snort’u en fazla 40-50 Mb trafikte kullanabilirsiniz. Bundan fazlasında paket kayıpları oluşmaya başlayacaktır. Performans için bir dünya ayar var bunları araştırın ya da Snort eğitimine katılıp gigabit ağlarda Snort’un nasıl kullanılacağını öğrenin.
* Intel ağ kartı tercih edin.
* Hattınız gigabit olmasa da gigabit ağ kartları tercih edin.
* Snort’u daha performanslı kullanmak için barnyard2 eklentisini kullanın.
* Mysql’e perfoprmans ayarları yapın
* Asimetrik trafik kullanıyorsanız Snort’un gelen–giden trafiği tamamen gördüğünden emin olun. Gerekirse gelen ve giden bağlantıları bridge yaparak Snort’a verin.
* Snort birden fazla CPU kullanamayacağı için tek bir CPU’yu Snort’un hizmetine verin. Gerekirse birden fazla Snort’u farklı işlemcilerde çalıştırarak manuel yük dağılımı gerçekleştirin.
* Klasik libpcap kullanmayın yerine daha performanslı eklentileri araştırın
* Kullanmadığınız protokollere ait preprocessorları kapatın.
* Son olarak Snort’u hem Firewall’un dışını hem de iç tarafını dinleyecek şekilde yapılandırın ve farklı ayarlarla kullanın.
* Snort inline olarak yerleştirilmişse fail open kit kullanın

Aslında burada yazılı olanlar sadece Snort için değil tüm IPS sistemleri için geçerlidir. Özellikle ticari IPS yazılımı kullanan güvenlik yöneticilerinin mutlaka Snort kurcalamalarını önerilmektedir, bunun temel sebebi ticari ürünler kapalı olduğu için IPS çalışma mantığının ürünler üzerinde tam anlaşılamamasıdır.

Snort’u kurcalayarak bir IDS/IPS nasıl çalışır, hangi durumlarda saldırı uyarısı verir, hangi paketleri normal, hangilerini anormal olarak tanımlar rahatlıkla öğrenilebilir.

The post Kurumsal İş Ortamlarında Snort Kullanımı first appeared on Complexity is the enemy of Security.

Bu konuda ben Netoptics cihazlarını tercih ediyorum. Kite http://www.netoptics.com/support/documents/BypassSolution.pdf adresinden bypass kitin çalışma mantığına ve özelliklerine erişebilirsiniz.

The post Snort IPS için bypass kiti first appeared on Complexity is the enemy of Security.

Eğitim kontenjanımız 10 kişiyle sınırlıdır.

Eğitim içeriği Snort Certified Professional (SnortCP) ile uyumludur.

Snort IPS eğitimi ileri seviye bir eğitim olduğu için katılımcıların orta seviye TCP/IP bilgisine sahip olmaları beklenmektedir. TCP/IP güvenliği konusunda yeterlililik durumunuzu görmek için aşağıdaki değerlendirme sınavlarını kullanabilirsiniz.

http://www.bga.com.tr/?p=1400

http://www.bga.com.tr/?p=1301

Eğitim içeriği hakkınde detay bilgi almak ve kayıt için http://www.bga.com.tr/?p=1459

The post Snort IPS(Saldırı Engelleme Sistemi) Eğitimi 10-11 Temmuz 2010 first appeared on Complexity is the enemy of Security.

Snort kullanımında proses sonlandırıldıktan sonra ekrana ne kadar trafik yakaladığı, ne kadar trafiği düşürdüğü, trafiğin ne kadarı hangi protokolden oluşuyor gibi bilgileri ekrana basacaktır.

===============================================================================
Packet Wire Totals:
Received: 4944815
Analyzed: 4914581 (99.389%)
Dropped: 30180 (0.610%)
Outstanding: 54 (0.001%)
===============================================================================
Breakdown by protocol (includes rebuilt packets):
ETH: 4920496 (100.000%)
ETHdisc: 0 (0.000%)
VLAN: 0 (0.000%)
IPV6: 14 (0.000%)
IP6 EXT: 0 (0.000%)
IP6opts: 0 (0.000%)
IP6disc: 0 (0.000%)
IP4: 4919708 (99.984%)
IP4disc: 0 (0.000%)
TCP 6: 0 (0.000%)
UDP 6: 0 (0.000%)
ICMP6: 0 (0.000%)
ICMP-IP: 0 (0.000%)
TCP: 4764304 (96.826%)
UDP: 155176 (3.154%)
ICMP: 228 (0.005%)
TCPdisc: 0 (0.000%)
UDPdisc: 0 (0.000%)
ICMPdis: 0 (0.000%)
FRAG: 0 (0.000%)
FRAG 6: 0 (0.000%)
ARP: 178 (0.004%)
EAPOL: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
OTHER: 596 (0.012%)
DISCARD: 0 (0.000%)
InvChkSum: 9 (0.000%)
S5 G 1: 0 (0.000%)
S5 G 2: 5915 (0.120%)
Total: 4920496
=======================================

Kullanılan sistem FreeBSD ise netstat -B komutuyla da ne kadarlık paket kaybı olduğu gözlemlenebilir.

[root@S-Guard11 ~]# netstat -B
Pid Netif Flags Recv Drop Match Sblen Hblen Command
20000 em0 p–s— 8611 8505 8611 32762 32730 snort
41911 em0 p–s— 81404 0 81404 10692 0 ourmon

The post Saldırı Tespit Sisteminiz(Snort) Paket Kaçırıyor mu? first appeared on Complexity is the enemy of Security.

Linux-güvenlik listesinde hararetli bir şekilde  Ultrasurf’u engelleme konusu tartışılıyordu. Arkadaşlardan biri Ultrasurf’ün SSL bağlantısı kurarken kullandığı Client Hello mesajlarının Ultrasurf için klasik uygulamalardan farklı olduğunu bulmuş.

Buradan yola çıkarak 443. port’da bu değerin geçtiği paketleri yakalayıp engelleyerek Ultrasurf’ün sunuculara bağlantısı engellenebilir.

Gerçekten çalışıyor mu, false positive oranı nedir diye çalakalem bir Snort kuralı yazıp test ettim,  evet problemsiz çalışıyor gözüküyor. Tabi Ultrareach(Ultrasurf gelistiricileri) yeni sürümlerde bu değeri değiştirirse kuralın da güncellenmesi gerekecek.

alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg:”Ultrasurf Kullanimi!”; flow:to_server,established; content:”|16030100410100003d0301|”; classtype:policy-violation; sid:1000099;)

Snort_inline kullanıyorsanız alert yerine drop, flexresp2 kullanıyorsanız kuralın sonuna resp:reset_both eklemeniz gerekir.

Güncelleme: Hex değerini biraz inceleyince aşağıdaki sonuçlar çıktı. (Özet olarak bu imza ile false positive üretebilir)

16030100410100003d0301 hex ifadesinde normal TLS bağlantılarından farklı tek şey Length değerleri.  Ultrasurf’e ait Length değerleri eğer değişirse ya da aynı değerleri kullanan başka uygulamalar varsa onlar da engellenecektir.

16: Content Type: Handshake

03 01: Version TLS1.0

00 41: Length 65

01: Handshake Type: Client Hello

00 00 3d: Length 61

03 01:Version TLS1.0

Kaynak: http://pere.bocairent.net/?p=57

The post Snort kullanarak Ultrasurf engelleme first appeared on Complexity is the enemy of Security.

Bu konuda Snort kullanıcılarına yardımcı olmak amacıyla geliştirilmiş snortid.com adresi kullanılabilir. Snortid.com adresine girilecek herhangi bir snort ID’sine karşılık o kuralla ilgili tüm bilgiler ekrana dökülecektir.

The post Hangi Snort Kuralı Ne İşe Yarar? first appeared on Complexity is the enemy of Security.

Snort 3.5~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır. Snort’u temel alarak geliştirilen Sourcefire 3D sistemi Gartner raporlarında hep en üst sıralarda yer almaktadır. 

Bu yazıda Snort’un güçlü yanları ve iş ortamlarında kullanma için yapılması gerekenleri aktaracağım. Bu satırların yazarı Snort’u yaklaşık ilk tanıdığı günden beri her ortamda çeşitli amaçlarla başarıyla ve övünerek kullanmaktadır. Bu ortamlar 2 Mb hattan 2 Gb hatta kadar uzanmaktadır.

Kısa özet: Snort eğer iyi yapılandırılırsa -ki bayağı emek ister- iş ortamlarında en az ticari muadilleri kadar başarılı olur. Ama günümüzde Snort’un kullanımı genelde IPS olarak değil IDS olarak yaygındır ve iyi yapılandırılmadığı için verimli kullanılamamaktadır.

Snort’u iş ortamlardında başarıyla kullanmak için yapılması gereken en temel şey saldırı tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisini geliştirmektir. TCP/IP bilgisi olmadan yönetilecek herhangi bir IDS/IPS şirketinize bir fayda getirmeyecektir, sadece kendinizi güvende hissetmenizi sağlayacaktır. Türkiye’de tamamı orta ve büyük ölçekten oluşan 100 şirkete yaptığım IPS kullanım anketi(bireysel bir anketdir ve sonuçları yakında detaylı açıklanacaktır)nin sonuçları Türkiye’de IPS/IDS kullanımının tamamen nazar boncuğu görevini yerine getirdiğini gösteriyor.

Ankete katılan kurumların %95’indeki IPS çok basit bir iki yöntemle aşılabiliyor. Yine ankete katılanlardan hiç bir firma aldıkları IPS’i detaylı test etmemişler. Daha çok NSS ve Gartner raporlarına dayanarak satın alımlar yapılmış. Anketten çıkan önemli bir sonuç da %85 oranında firmaların IPS’in bugüne kadar ciddi bir saldırıyı engellemediğini düşünüyor…

Kısacası Türkiye’de alınan IPS ürünleri amacına uygun kullanılmamaktadır. Bunun temel sebebi de IPS yöneticilerindeki TCP/IP bilgisi eksikliğidir ve IPS’i satanların sattıkları ürünü sihirbaz olarak pazarlayıp firmaları bir nevi kandırmalarıdır:)

• Snort’u gerçekten amacına uygun olarak kullanabilmek için mutlaka bir GUI gerekmektedir. Ne kadar uzmanı olursanız olun sizden başka sistem/güvenlik yöneticilerinin de Snort’u kullanabilmesini istiyorsanız mutlaka bir gönetim arabirimi kullanın.
• Logları analiz etmek için base ya da Aanval gibi bir analiz/raporlama sistemi kullanın. Ve günlük olarak loglara bakmaya çalışın.
• Ağ yapınızı çıkarın ve sadece korumak istediğiniz servislere ait snort imzalarını aktif edin. Snort ile birlikte 10.000 civarı saldırı imzası gelmektedir. Bunların hepsi açılırsa Snort ciddi performans kaybına uğrayacaktır ve daha da önemlisi Snort’un üreteceği alarmlar fazla olacağı için gerçek alarmları yakalayamayacaksınız.
• Mutlaka Snort’un lisanslı kural/imzalarını kullanın. Ek olarak Bleeding  Snort  kurallarını da inceleyerek itiyaç duyduklarınızı ekleyin.
• Snort’u SnortSam ya da inline özelliğiyle kullanın. False positivelerden kaçınmak için kendinize ait sunucuları  beyaz listelere ekleyin.
• Default ayarlarıyla Snort’u en fazla 40-50 Mb trafikte kullanabilirsiniz. Bundan fazlasında paket kayıpları oluşmaya başlayacaktır. Performans için bir dünya ayar var bunları araştırın ya da Snort eğitimine katılıp gigabit ağlarda Snort’un nasıl kullanılacağını öğrenin.
• Intel ağ kartı tercih edin.
• Hattınız gigabit olmasa da gigabit ağ kartları tercih edin.
• Snort’u daha performanslı kullanmak için barnyard2 eklentisini kullanın. 
• Mysql’e perfoprmans ayarları yapın
• Asimetrik trafik kullanıyorsanız Snort’un gelen–giden trafiği tamamen gördüğünden emin olun. Gerekirse gelen ve giden bağlantıları bridge yaparak Snort’a verin.
• Snort birden fazla CPU kullanamayacağı için tek bir CPU’yu Snort’un hizmetine verin. Gerekirse birden fazla Snort’u farklı işlemcilerde çalıştırarak manuel yük dağılımı gerçekleştirin.
• Klasik libpcap kullanmayın yerine daha performanslı eklentileri araştırın
• Kullanmadığınız protokollere ait preprocessorları kapatın.
• Son olarak Snort’u hem Firewall’un dışını hem de iç tarafını dinleyecek şekilde yapılandırın ve farklı ayarlarla kullanın.

Aslında burada yazılı olanlar sadece Snort için değil tüm IPS sistemleri için geçerlidir. Ben özellikle ticari IPS yazılımı kullanan arkadaşlara mutlaka Snort kurcalamalarını öneriyorum zira ticari ürünler kapalı olduğu için IPS çalışma mantığını onları kullanarak öğrenilemez.

The post Snort’u iş ortamlarında kullanma first appeared on Complexity is the enemy of Security.

1-2 Mayıs 2010 tarihlerinde Snort Saldırı Tespit ve Engelleme Sistemi eğitimi açılacaktır.

Eğitime katılanlar günümüzde ağ güvenliği denildiğinde akla ilk gelen bileşen IPS’ler hakkında detay ve uygulamalı bilgi sahibi olacaklar ve Snort’u gerçek ağ ortamlarında kullanabilmek için gerekli bilgiyi edinecekler.

Eğitim ileri düzey bir eğitim olduğu için öncesinde katılımcılara ücretsiz olarak “Online TCP/IP Güvenliği” eğitimi hediye edilecek ve online sınav yapılacaktır.

Eğitim sonrası katılımcılar “Snort Certified Professional (SnortCP)” sertifikasına hazır hale geleceklerdir.

Eğitimle ilgili tüm bilgiler http://www.guvenlikegitimleri.com/new/snort-saldiri-tespit-ve-engelleme-sistemi-egitimi adresinden edinilebilir.

 Eğitim İçeriği

1. TCP/IP Protokol Ailesi
2. TCP/IP’ye dayalı saldırı tipleri
3. Ağ trafik analizi
   • tcpdump kullanımı
   • tcpdump çıktılarını analiz etme
   • ethereal ile ağ trafik analizi
4. Protokol analizi
   • arp tabanlı saldırı çeşitleri
   • IP, ICMP tabanlı salsırı çeşitleri
   • TCP, UDP’ye dayalı saldırı tipleri
   • http, ftp, telnet, smtp protokolleri analizi
   • ssh, ssl protokol analizleri
5. IDS, IPS, NIDS, NIPS Tanımları
6. IDS/IPS(salsırı tespit ve engelleme) teknolojileri
7. IDS/IPS  yerleşim planlaması
8. Açık kod IDS/IPS Araçları
   • Snort, BroIDS
9. Snort’a GİRİŞ
   • Snort mimarisi
10. Snort Kurulumu
    •   Windows
    •   Linux
    •   FreeBSD/OpenBSD
11. Snort Çalışma modları
    •   Sniffer
    •   Paket loglayıcı
    •   NIDS/NIPS
12. Snort’u (N)IDS olarak yapılandırma
13. IDS Kurallarını Anlama ve Yorumlama
14. Snort Kural dili ile IDS Kuralları  Yazma
15. Saldırı analizi ve ileri düzey kural yazımı
16. Saldırı Loglarını inceleme ve Yorumlama
17. Snort performans ayarları
18. Snort’u NIPS olarak Kullanma
    • Snort’u ağ trafiği için virüs tarama aracı olarak kullanma
    •  WEB saldırılarında Snort kullanımı ve engelleme
19. Snort Yönetim araçları
    • saldırı  İzleme araçları
    • sensör  yönetim araçları
    • kural yazım araçları
20. IDS/IPS atlatma araçları ve korunma yöntemleri
    • Nmap
    • Nessus
    • Metasploıt
    • ftester

The post Snort Saldırı Tespit ve Engelleme Sistemi Eğitimi first appeared on Complexity is the enemy of Security.

Yazının fazla uzamasından dolayı bazı detaylara fazlasıyla yer veremedim, başka bir yazıda değinilmeyen detayları da yazmaya çalışacağım.

The post [Makale] SYNFlood saldırıları ve korunma yolları first appeared on Complexity is the enemy of Security.