HAZIRLAYAN BEDRİ SERTKAYA bedri@bedrisertkaya.com Sistem Uzmanı CEH EĞİTMENİ



Benzer belgeler
Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Firewall/IPS Güvenlik Testleri Eğitimi

ERİŞİM ENGELLEME DOS VE DDOS:

Güvenlik Mühendisliği

Açık Kaynak Güvenlik Duvarı Sistemi

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

[TCP/IP Ağlarda Parçalanmış Paketler]

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

BEYAZ ŞAPKALI HACKER EĞİTİMİ

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

Yeni Nesil Ağ Güvenliği

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Computer Networks 5. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

FTP ve Güvenlik Duvarları

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

Hping ile IP, ICMP ve UDP Paketleri Oluşturma

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

ZAFİYET TESPİTİ VE SIZMA YÖNTEMLERİ. Eyüp ÇELİK Bilgi Teknolojileri Güvenlik Uzmanı

Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz).

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

Ön Koşullar : Temel Network

C0R3 Bilişim Güvenliği Grubu

Internetin Yapı Taşları

Ağ Trafik ve Forensik Analizi

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Ağ Temelleri Semineri. erbil KARAMAN

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

Ağ Topolojisi ve Ağ Yazılımları

AĞ TEMELLERİ (NETWORK)

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği

TCP / IP NEDİR? TCP / IP SORUN ÇÖZME

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

INHAND ROUTER LAR İÇİN PORT YÖNLENDİRME KILAVUZU

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak

Kurumsal Güvenlik ve Web Filtreleme

Kurumsal Güvenlik ve Web Filtreleme

Güvenlik Sistemlerini Atlatma ve Alınacak Dersler. Huzeyfe ÖNAL

Intrusion Belirleme Araçları

Bölüm3 Taşıma Katmanı. Transport Layer 3-1

Ayni sistem(host) üzerinde IPC. Ağ(network) aracılığı ile IPC


Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

NAT(Ağ Adresi Çeviricisi)

Güvenlik Duvarları ve Duvardaki Paketler

Bilgisayar Ağlarında Adli Bilişim Analizi(Network Forensics)

OSI REFERANS MODELI-II

Bölüm 12: UDP ve TCP UDP (User Datagram Protocol)

Web Servis-Web Sitesi Bağlantısı

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

MCR02-AE Ethernet Temassız Kart Okuyucu

BEYAZ ŞAPKALI HACKER EĞİTİMİ (C.E.H)

İPv4 İLE İPv6 PROTOKOLLERİNİN KARŞILAŞTIRILMASI VE KURUMSAL VERİ GÜVENLİĞİNİN İPV6 İLE SAĞLANMASI

IPv6 Saldırı Araçları ve IPv6-GO Uygulamaları. Emre YÜCE - TÜBİTAK ULAKBİM 6 Mayıs 2010

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Datagram, bir başlık eklenerek, kaynak uçtan alıcı uca gönderilen veri birimidir. Her datagram sıra ile gönderilir.

Data Link Katmanı olarak adlandırılır. Fiziksel adresleme bu katmanda yapılır.

AĞ GÜVENLİĞİ DERSİ. Donanımsal ağ güvenliğini ve bakımını sağlamak Yazılımsal ağ güvenliğini ve bakımını sağlamak. Ağ Güvenliği (Donanım)

Berqnet Sürüm Notları Sürüm 4.1.0

Bilgisayar Programcılığı

BİLGİSAYAR AĞLARI VE İLETİŞİM

Temel Ağ Bilgileri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Kas Salı, Çarşamba Öğr. Gör. Murat KEÇECİOĞLU


ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri

Ipv6 Egitimi. Mustafa Reşit Şahin. Software Engineer.

Internet in Kısa Tarihçesi

Saldırgan Yaklaşımı. Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com. Secrove Information Security Consulting

Hping kullanarak TCP/IP Paketleriyle Oynama Hping-I

NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

P2P engellemek için Snort IDS kullanılması

İÇİNDEKİLER Ön söz... İçindekiler...

Internet te Veri Güvenliği

Güvenli Kabuk: SSH. Burak DAYIOĞLU, Korhan GÜRLER

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı

FortiGate IPSec VPN (Gateway-to-Gateway) v4.00-build /02

Kurumsal Ağlarda Web Sistem Güvenliği

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

Bilgisayar Ağlarında Güvenlik. Prof. Dr. Eşref ADALI www. Adalı.net

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

Kampüs Ağlarında Köprü-Güvenlik Duvarı (Bridge Firewall) ve Transparent Proxy

01 Şirket Profili

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

Labris LBR-S Labris LBR-S4-100A YILI DEVLET MALZEME OFİSİ ÜRÜN KATALOĞU Labris Güvenlik Programlar

ACR-Net 100 Kullanım Kılavuzu

BLGM 343 DENEY 8 * TCP İLE VERİ İLETİŞİMİ

Web Sunuculara Yönelik DOS/DDOS Saldırıları

Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Transkript:

HAZIRLAYAN BEDRİ SERTKAYA bedri@bedrisertkaya.com Sistem Uzmanı CEH EĞİTMENİ

IDS,IPS,Firewall Atlatma Yöntemleri IDS NEDİR? Intrusion Detection System:Tehdit Tespit sistemi bir ağ cihazına gelebilecek yetkisiz girişleri ve atak vektörlerini tespit etmeyi sağlayan sistemlerdir.tespit ve loglama gerçekleştirir. IPS NEDİR? Intrusion Prevention System:Tehdit Önleme Sistemi bir ağ cihazına gelebilecek yetkisiz girişleri ve atak vektörlerini engellemeyi sağlayan sistemlerdir. IDS/IPS Programları: Snort Tehdit Tespit Çeşitleri: İmza Tanımlama:Sistem kaynaklarını tehdit eden kötüye kullanımları tespit etme biçimidir. Anomali Tespiti:Kullanıcıların ve bilgisayar bileşenlerinin davranışsal analizini yaparak tespit etme biçimidir. Protokol Bazlı Anomali Tespiti:TCP/IP protokolü kullanılarak yapılan anomali tespit biçimidir. IDS Çeşitleri: Network Based:Ağ temelli ids çeşidi promiscius mod aktif halde saldırı imzalarını tespit edecek şekilde çalışır. Host Based:Host temelli ids çeşidi ağa bağlı aygıtı gözlemleyerek sadece ilgili ağa ait olayları gözetler. Log Dosyası Gözlemlemesi:Oluşturulan log(günlük) dosyaları üzerinden ayrıştırma ve analizine yönelik ids çeşididir. Dosya Bütünlük Kontrolü Yapan:Sistem dosyalarında ve programlarında meydana gelen değişiklikleri tespit ederek buna göre tespit yapan ids çeşididir.örneğin sistem programlarına sızmış truva atları vb. Firewall Nedir? Güvenlik duvarı bir sisteme yetkisiz girişleri engellemeyi sağlayan donanımsal, yazılımsal ya da ikisinin karışımından oluşan sistemdir.güvenlik duvarı iç ağa gelen ve ağı terk eden bütün mesajları ve paketleri kontrol eder.yetki ihlali yapanları engeller. Güvenlik Duvarı Bileşenleri: Bastion Host:Ağ kaynaklarını yetkisiz girişim ve saldırılara karşı korumayı sağlayan sistemlerdir.

Bu sistemlere "kale", "nöbetçi kale" anlamına gelen tabya (bastion host) denir. Tabyamız, fiziksel olarak iki farklı ağa bağlıdır: iç ağ (Intranet) ve dış ağ (Internet). Tabya iki özelliğe sahiptir: Yüksek güvenliğe sahip olmalıdır -- yani bu makinaya izinsiz erişim son derece zor hale getirilmelidir. İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir. DMZ:(Demilitarized Zone):Arındırılmış bölge,güvenlik duvarı tarafından daha az korunan, daha fazla erişime izin verilen bir bölgedir. Güvenlik duvarına üçüncü bir ağ çıkışı eklenmesi ve Internet'e servis verecek olan makinaların buraya konulması ile oluşturulur.buradaki makinalar dikkatli kurulmalı, güvenliğe aykırı protokoller vs. burada yer almamalıdır. Firewall Çeşitleri: Packet Filtering Firewall: Güvenlik duvarından geçen her IP paketine bakılması ve ancak belli şartlara uyarsa geçişine izin verilmesi şeklinde uygulanır.osi katmanından network katmanında çalışırlar.tcp/ip'de bu IP katmanına denk gelmektedir. Örneğin: İç ağınızdan kimsenin Internet'de IRC kullanmasını istemiyorsunuz. Dışarıdan içeriye hiç kimsenin ssh yapabilmesini istemiyorsunuz. Bu hedefleri gerçekleştirmek için paket filtreleme yöntemleri kullanacaksınız. Paket filtreleme, güvenlik duvarının her fiziksel bağlantısı üzerinde ayrı ayrı ve yöne bağlı (dışarıya çıkışa izin ver, fakat içeriye girişe izin verme) olarak uygulanabilir. Paket filtrelemede özellikle yapmanız gereken minimum, dışarıdan gelip de kaynağını içerisi gibi gösteren (IP spoofing - IP aldatmacası) paketleri ve devam etmekte olan bir trafiğin parçası imiş gibi gelen paketleri (IP fragments) filtrelemek ve bunların geçişine izin vermemektir. Çoğu saldırı, bu şekilde başlar. Circuit Level Gateway Firewall: Devre seviyesi ağ geçidi güvenlik duvarları OSI katmanlarından sunum katmanında çalışırlar.tcp/ip'de bu TCP katmanına denk gelmektedir.paketlerin üçlü el sıkışma gerçekleştirmesine göre gözlem yaparlar. Application Level Firewall: Uygulama seviyesindeki güvenlik duvarları OSI katmanlarından uygulama katmanında çalışırlar. Uygulama bazlı filtreleme yaparak ftp,telnet vb. veri trafiğine engel olurlar. Vekil sunucu gibi konfigüre edilmişlerdir. Web sitesine yapılan GET ve POST isteklerini filtreleyebilirler. Stateful Firewall: Yukarıda açıkladığımız üç güvenlik duvarınında bileşiminden oluşan 3 katmanda da çalışan firewall çeşididir.network katmanında dinamik filtreleme yapılabilmesini sağlar.

Eskiden filtreleme yöntemleri ağırlıklı olarak statikti yani genel olarak ağınıza ICQ paketlerinin girmesine izin verip vermeme kararı söz konusu idi. 2.4 çekirdeği ve iptables uygulaması ile birlikte dinamik filtreleme Linux üzerinde kullanılabilir hale geldi. Aradaki fark, paketin sırf protokolüne bakarak karar vermek yerine, güvenlik duvarının bir bağlantıyı hangi tarafın başlattığını takip etmesi ve çift yönlü paket geçişlerine buna göre karar vermesidir. Yani bir telnet bağlantısında her iki taraftan da paketler gelir ve gider. Fakat dinamik filtreleme ile, bir telnet bağlantısı iç ağınızdan başlatılmışsa izin verir, başlangıç istemi dış ağdan gelmişse reddedilebilir. Firewall Tespit Yöntemleri: Port tarama yöntemiyle hedef sistemde firewall olup olmadığı tespit edilebilmektedir. Örnek olarak nmap'in firewall eklentisinden faydalanabiliriz. nmap --script=firewalk --traceroute Kaynak:http://nmap.org/nsedoc/scripts/firewalk.html NMAP ile IDS/IPS Atlatma Teknikleri: Fragment Packets (-f): nmap -f opsiyonu ile TCP paketinin içeriği parçalanır. TCP başlığı üçe bölünerek gerçekleştirilir. (2 8-bit, 4-bit şeklinde)..-f -f (-f iki kez) girildiği takdir de daha verimli olur.bu şekilde 16-bit paket ve kalan 4 bit paket gönderimi sağlanır. MTU ( mtu): Değiştirilebilir mtu değeri sayesinde paketler 8'in katları olacak şekilde parçalanabilir. Kaynak Port Sahteciliği (-g): Rastgele Paket Ekleme ( data-length): Bu opsiyon sayesinde paket boyutu değiştirilerek firewall atlatılabilir.default olarak paket boyutları :TCP (40-bits) ya da ICMP (28-bits) Randomize Hosts ( randomize-hosts): Taranması gereken host aralığını rastgele yapar. : Send Bad Checksum ( badsum): Checksum değerinin içine Nmap gereksiz checksum paketleri gönderir.normal hedef paketi keser fakat ids ve ips rst paketi ile cevap döner. Set TTL ( ttl): Bu opsiyon nmap'in firewall tespiti yapmasına olanak verir. Kaynak:http://pentestlab.wordpress.com/2012/04/02/nmap-techniques-for-avoiding-firewalls/ Web Application Firewall Tespiti: wafw00f programı ile web uygulama firewall tespit edilebilir. Kullanım: wafw00f www.hedef.com HoneyPot Nedir?

Honeypot(Balküpü) saldırganları yanıtlmak amacıyla oluşturulmuş saldırıları ve sisteme sızma girişimlerini kaydeden sistemlerdir. HoneyPot Programları: KFSensor, Specter IDS/IPS Atlatma Teknikleri: Fragmentation Attack: MTU(maximum transmission unit) ağa girecek maksimum kapasitedir. Ethernet ağlarında bu değer 1500 byte'dır.gönderdiğimiz paket ethernet ağındaki router'a geldiğinde 1800 byte ise 1500 olan kısmı parçalanır ve kalan 300 byte ile tekrar birleştirilerek alınır. Paket parçalalama teknikleri: fragroute aracıyla ids atlatılabilmektedir. Fragroute linux işletim sisteminde kullanılabilmektedir. Gerekli ayarları yapmadan fragroute kullanılamaz. Fragroute Kullanımı: apt-get install fragroute komutu ile yüklenir root yetkisi elde edildikten sonra; komutu girilir: echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter fragroute programı çalıştırılır: fragroute -f /etc/fragroute.conf hedefip ngrep paket yakalama programı çalıştırılır: ngrep -d any -q -i -q '/etc/passwd' telnet ile örnek komut girilir: telnet hedefsite.com 80 GET /etc/passwd HTTP/ 1.0 fragroute aktifken yani paket parçalama işlemi olunca ngrep bu isteği yakalayamaz.

rp_filter aktifken ve fragroute pasif olduğunda ise istek ngrep tarafından rahatça yakalanır. Kaynak:http://www.exploit-db.com/wp-content/themes/exploit/docs/362.pdf Şekil 1:Engellenmiş web sitelerine ulaşmak için kullanılabilecek yöntemlerden birisi adres yerine web sitesinin ip numarasını kullanmaktır.yine benzer şekilde engellemesi yapılmış web sitelerine ulaşmak için alt alan adları kullanılabilir. Örnek:twitter.com kapandığında mobile.twitter.com adresi kullanılarak siteye girmek mümkündü.

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim