P2P engellemek için Snort IDS kullanılması



Benzer belgeler
Snort IPS (Intrusion Prevention System) Eğitimi

SNORT ile Saldırı Tespiti

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

MCR02-AE Ethernet Temassız Kart Okuyucu

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Derinlemesine Paket İnceleme/Deep Packet Inspection

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

TachoMobile Server Uygulaması Kullanım Kılavuzu

Web Uygulama Açıklıkları ve Saldırı Engelleme Sistemleri Web uygulama açıklıkları karşısında saldırı engelleme sistemlerinin yetersizliği

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2

Kurumsal Güvenlik ve Web Filtreleme

EC-485. Ethernet RS485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

Kurumsal Güvenlik ve Web Filtreleme

EC-100. Ethernet RS232/422/485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

TCPDUMP İLE TRAFİK ANALİZİ(SNİFFİNG)

TCP / IP NEDİR? TCP / IP SORUN ÇÖZME

Hping kullanarak TCP/IP Paketleriyle Oynama Hping-I

Web Servis-Web Sitesi Bağlantısı

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 5. Yönlendiricilerde İşlem İzleme ve Hata Ayıklama

SQL Uyarı Programı Kurulum ve Kullanımı

Wolvox Kapı Ekranı. AKINSOFT Wolvox Kapı Ekranı Yardım Dosyası. Doküman Versiyon :

Giriş. İş Ortamlarına Yerleşimi. SecurityOnion Nedir? SecurityOnion İndirme Adresi. SecurityOnion Kurulumu. Kurulum Sonrası Yapılandırma

ArcSight Logger Connector ArcSight Logger Connector Yapılandırması

EGE Üniversitesi Network (Ağ) Altyapısı

Bilgisayar Mühendisliği Bölümü. Cisco PT Kullanımı. Arzu Kakışım BİL 372 Bilgisayar Ağları. GYTE - Bilgisayar Mühendisliği Bölümü

Bölüm 10: PHP ile Veritabanı Uygulamaları

KULLANICI KILAVUZU: UEA FİX KULLANICILARININ SSLVPN ERİŞİMİ İMKB İÇİNDEKİLER

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

WiFi RS232 Converter Sayfa 1 / 12. WiFi RS232 Converter. Teknik Döküman

ETA:MOBİL KURULUM TALİMATI

1. Zamanbaz Hakkında Zamanbaz Kurulumu Zamanbaz Sistem Gereksinimleri Zamanbaz Kurulumu... 3

Ubuntu Terminal Server Ve Uzak Masaüstü Sunucusu

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

NJ İLE UDP/IP ÜZERİNDEN SOKET SERVİS. 1) Soket Servis 2) Soket Servis Ayarları 3) Soket Servis Komutları 4) Örnek Uygulama 5) Multiway

EC-232C. Ethernet RS232 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

Scream! e gelen veri akışlarından bazılarını diğer bir kurum yada bilgisayarla paylaşmak için kullanılabilir.

Zilabs VoIP uygulaması için ADSL Ayarları

ACR-Net 100 Kullanım Kılavuzu

Dokunmatik Panel Ürün Ailesi. Eğitim Sunumu: Proje Uyarlama Kılavuzu

Ortam İzleyici Kullanım Kılavuzu

Hızlı Kurulum Kılavuzu

Bilgisayar Programcılığı

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

PERKON PDKS Kurulum ve hızlı başlangıç rehberi

P2P ile YAŞAMAK. Anahtar Kelimeler: Ağ yönetimi, kampüs ağları, P2P, P2P engelleme, P2P kısıtlama, QoS, IDS, IPS 1.GİRİŞ

Linux Kurulumu (Sürüm 1.52) İçindekiler

SNORT 2.3, ACID FEDORA 3 PF, SNORTSAM OPENBSD 3.6

SERNET ET485CAS x2 RS485/RS422 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

DLMS MODBUS GATEWAY KONFİGÜRASYON YAZILIMI

BlackRapid N+ Radyo kontrollü WLAN yönlendirici (router) Kısa kurulum kılavuzu

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Quedra L MON Log Yönetim ve Güvenli Kayıt Yazılımı

BİLGİSAYAR AĞLARI VE İLETİŞİM

Kampüs Ağlarında Köprü-Güvenlik Duvarı (Bridge Firewall) ve Transparent Proxy

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

ERİŞİM ENGELLEME DOS VE DDOS:

WiFi Relay Sayfa 1 / 11. WiFi Relay. Teknik Döküman

Kullanıcı Ayarları. Resim 89. United Security. Kullanici Adi Seviye Etkin. No.

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

Erişim Noktası Ayarları

Free Cooling (Tibbo Ethernet Modüllü)

Bölüm3 Taşıma Katmanı. Transport Layer 3-1

Ağ Protokolleri. Aysel Aksu. Nisan, 2016

SERNET ET232CAS x2 RS232 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

Ağ Trafik ve Forensik Analizi

FTP ve Güvenlik Duvarları

İnternet ortamından iç ağa nasıl port yönlendirmesi yapılır (Virtual Host nasıl oluşturulur)

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

T. C. İSTANBUL TEKNİK ÜNİVERSİTESİ Bilişim Enstitüsü ENFORMASYON SİSTEMLERİNİN TASARIMI VE YÖNETİMİ

MaestroPanel Kurulum

22/03/2016. OSI and Equipment. Networking Hardware YİNELEYİCİ (REPEATER) YİNELEYİCİ (REPEATER) Yineleyici. Hub

BLGM 343 DENEY 8 * TCP İLE VERİ İLETİŞİMİ

IPV6 SALDIRI TRAFİĞİNDEN İMZA ÜRETME

Bilgi ve Olay Yönetim Sistemi

SQL 2005 SQL STUDIO MANAGER ACP YAZILIMI KURULUM KILAVUZU

FreeBSD Üzerinde VLAN Kullanımı

NP311. Genel. Uygulanışı. Datasheet NP311 device (terminal) server uygulaması

İşletme ve Devreye Alma Planı Yerel Okul Sunucusu Uygulama Yazılımları Prototipi TRscaler Technology Solutions

İnternet Yapılandırma Gereksinimleri. PC lerin Yapılandırılması. Windows XP altında ayar yapılması

MODBUS GATEWAY KONFİGÜRASYON YAZILIMI

Kets DocPlace LOGO Entegrasyonu

Programlama Kılavuzu. IPV Serisi IP Santralleri IPV10 IPV20 IPV50

BQ Modbus Analog Giriş Kartı 6 Kanal PT100 - PT1000. Kullanım Kılavuzu. Doküman Versiyon: BQTEK

Alt Ağ Maskesi (Subnet Mask)

Bu bölüm V- Ray License Server lisans sunucusu uygulamasının kurulumundan

ICMP Deyip Geçmeyin , A. Kadir Altan, kadiraltan-hotmail-com

Coslat Monitor (Raporcu)

AKUVOX E10 KAPI ÖNÜ ZİL PANELİ KULLANICI KILAVUZU

KAMPÜS AĞLARINDA ETKİN BANT GENİŞLİĞİ YÖNETİMİ

Opera V2 Kurulum Klavuzu V0.01

OSI REFERANS MODELI-II

SERNET ET232CAS x2 RS232 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

Bay.t Destek. İnternetten Uzak Erişim. Kullanım Klavuzu

Useroam Kurulum Rehberi

BIND ile DNS Sunucu Kurulumu

Açık Kaynak kodlu Yazılımlarla Trafik Analizi, Saldırı Tespiti Ve Engelleme Sistemleri Huzeyfe ÖNAL

AKUVOX R23 KAPI ÖNÜ ZİL PANELİ KULLANICI KILAVUZU

Bilgi ve Olay Yönetim Sistemi

Transkript:

P2P engellemek için Snort IDS kullanılması Vedat Fetah, Ege Üniversitesi Network Güvenlik Grubu Ege Üniversitesi'nde kurulan sistemde Linux işletim sistemi üzerinde çalışan Snort saldırı tespit sistemi ile P2P engellemesi yapılmaktadır. Ağ switch'inde, yönlendiriciye giden hattın trafiği snort'un dinlediği ethernet portuna yönlendirilmektedir. Sistem mesai saatlerinde çalışmakta ve P2P yakaladığı zaman diğer bir ethernet portu üzerinden TCP END paketi göndererek bağlantı (connection) kurulmasını engellemektedir. Hattı sadece dinlediği için hatta bir yavaşlığa yol açmamaktadır. Süreçte yaşanan tek sorun, gece saatlerinde başlayan bağlantıların devam etmesidir ama bu ip'ler de trafik istatistikleri takip edilerek tespit edilmekte ve kapatma yaptırımları uygulanmaktadır. Snort'un bu şekilde kullanılabilmesi için özel bir kurulum gerekmektedir ve detaylar aşağıda anlatılmıştır. Snort kuralları dinamik olarak hazır kuralları www.snort.org sitesinden almak veya Oinkmaster adlı yazılımla bu işlem otomatik olarak kural güncellemesini yapmak mümkündür. Bundan sonar yapılması gereken ise newsgroup ları takip ederek p2p programlarının yapacağı değişikliklerin kural tablolarına aksettirilerek kurallların güncel olmasını sağlamaktır. Kuruluma başlamadan önce sunucuda Apache ve Mysql in Debian da varsayılan ayarları ile kurulu olduğundan emin olunmalıdır. 1

Debian Sarge Dağıtımı Üzerine Snort-Mysql Kurulumu 1. Tcp paketlerine cevap (response) yapabilmek için kullanılacak resp desteğini #error kullanabilmek için önce Libnet-1.0.2a kurulur. Libnet konfigürasyonu sırasında #define"byte order has not been specified, you'll need to include dizini altındaki libnet.h dosyasının 87. satırında hata verirse 87. satırın alt the satırında libnet-config either LIBNET_LIL_ENDIAN devam script." or LIBNET_BIG_ENDIAN. See the documentation regarding eden yorum tek satır olarak şöyle yazılır; #error LIBNET_BIG_ENDIAN. "byte order has not See been the documentation specified, you'll regarding need to the #define libnet-config either LIBNET_LIL_ENDIAN script." or şeklindeki iki satır, aşağıdaki gibi tek satır olacak şekilde yazılır ve tekrar./configure make & make install çalıştırılarak sisteme kurulur../configure with-openssl prefix=/usr bindir=/usr/sbin sysconfdir=/etc/snort enable-flexrsp with-mysql=/usr 2. Daha sonra snort-mysql aşağıdaki parametrelerle konfigüre edilir; Konfigure edilen snort make, make install ile sisteme kurulur. 3. Snortreport /var/www/report dizini altına açılır. Srconf.php dosyası metin editörü yardımıyla açılarak $server = "localhost"; $user = "snort"; $pass = "Vereceginiz_şifre"; 2

$dbname = "snort-mysql"; satırları kendi sisteminize göre derlenir. Burada snort-mysql tablosu logların tutulacağı zcat /usr/share/doc/snort-mysql/create_mysql tablodur. mysql -p snort-mysql 4. Son olarak aşağıdaki komut yardımıyla report'un web erişiminin hızlı olması için yazılır; Bu işlemler bittikten sonra snort-mysql çalıştırılır. Snort Çalıştırma Modları Snort 3 modda çalıştırılabilmektedir. Bunlar Sniffer, packet logger, network intrusion detection system olarak 3 farklı modda kullanılabilir. Sniffer Modu: Ağ trafiğini izleme modudur. Bu modda çalıştırmak için aşağıdaki komutlar kullanılabilir;./snort -v (TCP/IP) başlıklarını gösterir../snort -vd (TCP/IP ve Paket başlıklarını gösterir./snort -dev ayrıntılı bilgi modu (Paket başlıkları ve akan veri) Paket Logger Modu: Kayıt işlemlerini kütük dosyası şeklinde yapan çalışma şeklidir. Aşağıdaki komutlarla bu mod çalıştırılır;./snort -dev -l./log Önceden belirlenmiş bir dizine (LOG) kayıt alır../snort -dev -l./log -h 155.223.0.0/16 Bu komut satırı belirtilen ip aralığını log dosyasına kaydeder. 3

./snort -l./log -b Log dosyasını binary olarak tcp dump formatında kayıt eder../snort -dv -r packet.log Log dosyasını (binary olarak kaydedilen) okur../snort -dvr packet.log icmp Log dosyasındaki (binary olarak kaydedilen) sadece icmp paketlerini okumak için kullanılır. Network Intrusion Modu: Saldırı ve ağdaki kötü davranışlara akıllı tepki vermek için kullanılır.bu modu açabilmek için snort.conf dosyası içinde ağınızı tanımlamanız gerekmemektedir. Bu işlem kısaca var HOME_NET 155.223.0.0/16 satırı ile yapılır. Bu sayede snort'un her çalıştırılışında network tanımı yapmamış olduk. Snort.conf içinde tanımlama yapmadan;./snort -dev -l./log -h 155.223.0.0/16 -c /etc/snort/snort.conf Snort.conf içinde tanımlandıktan sonra;./snort -c /etc/snort/snort.conf -i eth0 -D Bir üst satırdaki gibi log dosyasının yolu belirtilmezse snort /var/log/snort dizini altında tutacaktır log dosyasını. 4

Komutların Kullanımı msg: Alarm verme ve paketlerin kaydedildigini belirten mesaji ekrana yazar. logto: Paketi kullanıcının belirlediği bir dosya adında kaydeder. ttl: IP başlığının TTL alan değerini test eder. tos: IP başlığının TOS alan değerini test eder. id: IP başlığının ID kısmının alan değerini test eder. ipoption: Spesifik kodlar için IP seçeneklerini izler. fragbits: IP başlığının bit parçalarını test eder. dsize: Bir değere karşı paketin taşıdığı veri yükünü test eder. flags: Belirli değerler için TCP segmentlerini test eder. seq: TCP sıra numara alanlarını belirli bir değer için test eder. ack: TCP onay alanlarını belirli bir değere göre test eder. itype: ICMP tipindeki alanları belirli bir değere göre test eder. icode: ICMP kodundaki alanlarını belirli bir değere göre test eder. icmp_id: ICMP ECHO ID sini belirli bir değere göre test eder. icmp_seq: ICMP ECHO sıra numaralarını belirli bir değere göre test eder. content: Veri paketinde belirli bir örneği arar. content-list: Veri paketinde belirli bir grup örnek için arama yapar. offset: İçerik opsiyonunu değiştirir. depth: İçerik opsiyonunu ve maksimum arama derinliğini değiştirir. nocase: Uygun içeriği büyük küçük harfe bakılmaksızın bulur. session: Uygulama tabakasını ekrana çıkarır. rpc: Belirli uygulama ve prosedür çağrıları için RPC servislerini izler. resp: Aktif cevaplama (bağlantıyı keser) react: Aktif cevaplama (web sitelerini bloklar) reference: Dış atak referans id'lerini ortaya çıkarır. sid: Snort kural id'sini gösterir. rev: Kural revizyon numarasını gösterir. classtype: Kural sıralama göstericisidir. 5

priority: Kural keskinliği göstericisidir. uricontent: Paketin URI porsiyonunda seçilen bir örneği arar. ip_proto: IP başlığının protokol değeridir. sameip: Kaynak ip'sinin hedef ip'sine eşit olup olmadığına kararlaştırır. Yukarıdaki seçeneklerin tek tek kullanımlarını anlatmak yerine sadece resp seçeneğinin kullanımı hakkında bilgi vereceğiz. resp: Bu komutla beraber kullanabilir seçenekler: 1. rst_snd - TCP-RST paketlerini gönderme soketine yollar. 2. rst_rcv - TCP-RST paketlerini alma soketine yollar. 3. rst_all - TCP_RST paketlerini her sokete yollar. 4. icmp_net - Bir ICMP_NET_UNREACH'i göndericiye yollar. 5. icmp_host -Bir ICMP_HOST_UNREACH'i göndericiye yollar. 6. icmp_port - " ICMP_PORT_UNREACH'i göndericiye yollar. 7. icmp_all Bütün ICMP paketlerini göndericiye yollar. resp: ; alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "BLEEDING-EDGE P2P Ares traffic"; flow: established; content:"user-agent\: Ares"; reference: url,www.aresgalaxy.org; classtype: policy-violation; sid: 2001059; rev:3; resp:rst_all;) alert tcp any any -> 155.223.0.0/16 1524 (flags: S \ resp: rst_all; msg: "Root shell backdoor attempt";) alert udp any any -> 155.223.0.0/16 31 (resp: icmp_port, icmp_host; \ msg: "Hacker's Paradise erisim denemesi";) şekillerinde kullanımı mevcuttur. Ancak biz p2p trafiğini denetlemek için çalışmalar yaptığımız için sadece ilk satırdaki örnek kural tarzı kurallarla 6

çalışmalıyız aksi taktirde daha yüksek kapasitede bir sunucuya ihtiyacımız olacaktır. Resp response rst_all ise reset all anlamı taşımaktadır. Kuralda tanımladığımız üzere alert tcp $HOME_NET any içeriden dışarıya giden tüm isteklerin -> $EXTERNAL_NET any resetlenmesi anlamını taşımaktadır. Burada bağlantısı resetlenecek makinanın gönderdiği paket sid: 2001059. Bu kurala uyan paket sahiplerinin göndermiş olduğu paketler resetlenecektir. Kuralları içerden dışarı ya da dışardan içeri tanımlayabiliriz. Snort kurallarını kendi yazamayanlar için hazır kuralları www.snort.org sitesinden almaları mümkündür. Oinkmaster adlı yazılımla bu işlem otomatik olarak yapılabilir. Bunun için oinkmaster kurulduktan sonra snort un web sitesinden kendinize özel bir id numarası alarak oinkmaster.conf içine yazıp çalıştırmanız gerekir. oinkmaster -o /etc/snort/ -b /etc/snort/eski/ komutuyla yeni kurallar /etc/snort/rules dizini altına konulmadan önce bu dizin /etc/snort/eski dizini altına sıkıştırılarak alınır. Yeni çekilen kurallar direk rules dizini altına yerleştirilir. 7

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim