FreeBSD Ağ Uygulamaları ve Güvenlik. Murat Balaban EnderUNIX Çekirdek Takımı Üyesi

Benzer belgeler
FreeBSD Ağ Uygulamaları

FreeBSD/OpenBSD Temel A Ayarları

Belge Ozan UÇAR tarafından yazılmıştır ve yazarın ismine sadık kalmak kaydı ile belge izin alınmaksızın her şekilde paylaşılabilir ve dağıtılabilir.

OpenBSD PF CARP ve pfsync ile Redundancy Firewall

Açık Kod VPN Çözümleri: OpenVPN. Huzeyfe ÖNAL

FreeBSD Üzerinde VLAN Kullanımı

Tuğrul Boztoprak. 1 Haziran 2009 III. ULAKNET Çalıştay ve Eğitimi

OpenBSD PacketFilter(PF) ile Firewall Uygulamaları

FreeBSD Üzerinde VLAN Kullanımı

Fedora Core Ağ Ayarları

LINUX TA İNTERNET PAYLAŞIMI

TCPDUMP İLE TRAFİK ANALİZİ(SNİFFİNG)

sunucu uygulaması Devrim Sipahi

FreeBSD ve Windows XP üzerinde IPv4 Ağından IPv6 Ağına Bağlanma (Tunnel Broker)

OpenBSD PF ile Güvenlik Duvarı Uygulamaları

Packet Radio & Linux. Barış Dinç (TA7W) Amatör Radyo Kablosuz Ağ Bağlantıları

BSD İşletim Sistemi Ailesi. EnderUnix Çekirdek Takımı Üyesi afsin ~ enderunix.org

Parsing Dostu: AWK! Özkan KIRIK. ozkan ~ enderunix.org

Computer and Network Security Cemalettin Kaya Güz Dönemi

1 STUNNEL NEDİR? 2 STUNNEL KURULUMU

Kurumsal Güvenlik ve Web Filtreleme

Kurumsal Güvenlik ve Web Filtreleme

OpenBSD Packet Filter ile Görünmez Firewall Uygulaması. Devrim Sipahi

FreeBSD 5.X Serisi. Ömer Faruk Şen EnderUNIX Çekirdek Takımı Üyesi

Linux ve iletişim. İletişim devriminin yaşandığı günümüzde, Linux ile veri iletişiminin her alanında mükemmel sonuçlara ulaşabilirsiniz.

OPENVPN Ipv4 & Ipv6 Tunnel Broker

FortiGate (SSLVPN) Tunnel Mode & Web App. Mode

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

FortiGate SSLVPN (Tunnel Mode & Web Mode) v4.00-build /10

Marmara Üniversitesi nde IPv6 Deneyimi

Açık Kod yazılımlar ile Ağ ve Güvenlik Çözümleri. Huzeyfe ÖNAL

# ifconfig le netmask broadcast

Useroam Cloud Kurulum Rehberi

Seagull ile Diameter Mesajları Üretme

AYBEY ELEKTRONİK. LiftNet KURULUM KILAVUZU

14/05/11 Turkish Hacker Anti Fighters 1

Rl0 arabirimine statik IP adresi ve subnet mask`i atamak için su komutu ile süper kullanıcı olup ifconfig komutunu kullanicaz.

HOŞGELDİNİZ LINUX'TA ROUTING VE QOS YAPISI. Özgür Yazılım ve Linux Günleri. Alper YALÇINER

OpenBSD Pf ve Squid ile Transparent Proxy Kurulumu.!!Bu yazıda OpenBSD 3.7 işletim sistemi kullanılmıştır.

.: Linux Kullanıcıları Derneği. III. Linux ve Özgür Yazılım Şenliği Mayıs Milli Kütüphane Ankara :.

TCPDump Kullanımı. Afşin Taşkıran. Tcpdump, Unix/Linux benzeri sistemler için vazgeçilmez paket yakalama ve analiz aracıdır.

Sistem Programlama. (*)Dersimizin amaçları Kullanılan programlama dili: C. Giriş/Cıkış( I/O) Sürücülerinin programlaması

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

Ön Söz. Bu belge bilgisayar ağlarında adli bilişim çalışmalarını (network forensic), kullanılan teknik ve terimleri anlatmaktadır.

Bsd Güvenlik Duvarları: IPFW. rule set = kurallar zinciri. firewall = güvenlik duvarı. = günlük

FreeBSD sistemlerde IPFIREWALL Kurulumu ve Konfigürasyonu

Yönlendirme. Yönlendirme Protokolleri

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

Packet-O-Matic: NetworkForensic Aracı

ACR-Net 100 Kullanım Kılavuzu

Web Servis-Web Sitesi Bağlantısı

Ipv6 Egitimi. Mustafa Reşit Şahin. Software Engineer.

Açık Kod Dünyasında Ağ ve Sistem Güvenliği Afşin Taşkıran

1 NETWORK KABLO VE CIHAZLAR

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı - ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

FreeBSD Paket Yönetimi

Hızlı Kurulum Rehberi. ASUS AAM6030BI ADSL 4 Port Modem

CHAPTER 12. AĞ BİLEŞENLERİ ve AĞ AYARLARI

Useroam Kurulum Rehberi

D Link DSL 2640U Kablosuz G ADSL2+ Router (Ver. C1 için) ADIM ADIM KURULUM KILAVUZU

Useroam Sonicwall Kurulum Rehberi

Mediant 500L MSBR. Multi Service Business Router

Ağ Temelleri Semineri. erbil KARAMAN

Bazı temel linux komutları ve sistem bilgisi içermektedir.

Açık Kod Dünyasında Ağ ve Sistem Güvenliği. EnderUnix Çekirdek Takımı Üyesi afsin ~ enderunix.org

YAYGIN OLARAK KULLANILAN ADSL MODEMLER VE ROUTER AYARLARI

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

Netfilter + IPTables Güvenlik Duvarı. Sunan: Serdar KÖYLÜ

FreeBSD DİZİN DÜZENİ. Ömer Faruk Şen EnderUNIX Çekirdek Takımı Üyesi

İsmail YENİGÜL. EnderUNIX Çekirdek Takımı Üyesi.

Knockd ile portlarinizi güvenli acin

Ayni sistem(host) üzerinde IPC. Ağ(network) aracılığı ile IPC

D Link DSL 2600U Kablosuz G ADSL2+ Router (Ver. C1 için) ADIM ADIM KURULUM KILAVUZU

XSR Firewall Security Router Ailesi

TECOM AR1021 HAKKINDA SIKÇA SORULAN SORULAR

INTERNET BAĞLANTISININ KURULMASI İÇİN GEREKLİ AĞ GEÇİDİ AYARLARI

Seminar. İnternetin Kontrol Edilmesi. Recep Tiryaki Teknik Servis Muduru 1

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Linux Güvenliği. C. Ahmet Mercan

Linux işletim sistemlerinde dosya hiyerarşisinde en üstte bulunan dizindir. Diğer bütün dizinler kök dizinin altında bulunur.

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

Bazı Cisco Router Modelleri: Cisco 1720 Router

FreeBSD Sunucu Optimizasyonu ve Güvenlik Ayarları.

Linux Yaz Kampı 2012 pfsense 2.0 Eğitimi. Çağrı Ersen

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

INTERNET BAĞLANTISININ KURULMASI İÇİN GEREKLİ YÖNLENDİRİCİ AYARLARI

Temel Linux Bilgileri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

DRAYTEK VIGOR 3300V VPN Dial-in Fonksiyonu

ADSL USB Router Geniş Bantlı Internet Erişimi ADSL Modem NAT Router USB Ağ Portu Hızlı Kurulum Rehberi

Pfsense kurulum için gereken cd iso imajını adresinden indirebilirsiniz.

Free Cooling (Tibbo Ethernet Modüllü)

FreeBSD Nedir? Ömer Faruk Şen EnderUNIX.ORG Core Team Üyesi

Internetin Yapı Taşları

DRAYTEK VIGOR 3300V VPN Dial-out Fonksiyonu

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

DSL 2520U ALL IN ONE ADSL2+ ETHERNET/USB COMBO ROUTER ADIM ADIM KURULUM KILAVUZU

FreeBSD ve PF ile Güvenlik Duvarı. Murat ÜSTÜNTAŞ

FortiGate & FortiAP WiFi Controller

Transkript:

FreeBSD Ağ Uygulamaları ve Güvenlik Murat Balaban EnderUNIX Çekirdek Takımı Üyesi murat@enderunix.org

4BSD Networking 25 yıl En sağlam, uyumlu ve tamam TCP/IP yığıtı Neredeyse bütün UNIX ler ve hatta Windows bu kodu kullanır [mb@x-wing murat]$ strings FTP.EXE grep Cal @(#) Copyright (c) 1983 The Regents of the University of California. [mb@x-wing murat]$ FreeBSD/NetBSD/OpenBSD 4.4 BSD (Lite) tabanlıdırlar

4.4 BSD-Lite a FreeBSD eklentileri mbuf kümelerinin yoğun kullanımıyla soket ve TCP performansı artırıldı Paket alımı connection hashing yöntemiyle hızlandırıldı 100BT ve FDDI desteği LBL den multicast kodu Paket Filtreleme ve Firewall yeteneği

FreeBSD 5.3 Networking Yenilikleri Fine-grained locking, daha çok SMP performansı Netgraph KQUEUE PFIL_HOOKS NDIS Binary uyumluluğu

FreeBSD 5.3 Networking Yenilikleri POLLING IP Fastforward RFC3990 Increased Initial Congestion Window Inflight BW-delay limiter TCP SACK...devam

FreeBSD 5.3 Networking Yenilikleri TCP Hostcache Compressed TIME_WAIT2 Random IPID IP Options Processing Automatic VLANs...devam

FreeBSD 5.3 Networking Yenilikleri Interface renaming Universal Memory Allocator PRCLONING Bluetooth netgraph module ATM netgraph module...devam

FreeBSD 5.3 Networking Pratikleri: ifconfig root@gediz:~# ifconfig fxp0: flags=8843<up,broadcast,running,simplex,multicast> mtu 1500 inet 172.16.0.2 netmask 0xfffffc00 broadcast 172.16.3.255 inet6 fe80::290:27ff:fe2c:1310%fxp0 prefixlen 64 scopeid 0x1 ether 00:90:27:2c:13:10 media: Ethernet autoselect (100baseTX <full-duplex>) status: active fxp1: flags=8802<broadcast,simplex,multicast> mtu 1500 ether 00:0b:cd:06:6d:71 media: Ethernet autoselect (none) status: no carrier lp0: flags=8810<pointopoint,simplex,multicast> mtu 1500 lo0: flags=8049<up,loopback,running,multicast> mtu 16384 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet 127.0.0.1 netmask 0xff000000 ppp0: flags=8010<pointopoint,multicast> mtu 1500 sl0: flags=c010<pointopoint,link2,multicast> mtu 552 faith0: flags=8002<broadcast,multicast> mtu 1500 root@gediz:~# ifconfig fxp1 10.0.0.1 255.255.255.0 root@gediz:~# ifconfig fxp1 fxp1: flags=8843<up,broadcast,running,simplex,multicast> mtu 1500 inet 10.0.0.1 netmask 0xff000000 broadcast 255.255.255.0 inet6 fe80::20b:cdff:fe06:6d71%fxp1 prefixlen 64 scopeid 0x2 ether 00:0b:cd:06:6d:71 media: Ethernet autoselect (none) status: no carrier root@gediz:~#

root@gediz:~# netstat -rn Routing tables FreeBSD 5.3 Networking Pratikleri: netstat, arp Internet: Destination Gateway Flags Refs Use Netif Expire default 172.16.0.1 UGSc 3 3 fxp0 10 link#2 UC 0 0 fxp1 127.0.0.1 127.0.0.1 UH 0 20 lo0 172.16/22 link#1 UC 1 0 fxp0 172.16.0.1 00:00:0c:07:ac:b8 UHLW 4 0 fxp0 477 Internet6: Destination Gateway Flags Netif Expire ::1 ::1 UH lo0 fe80::%fxp0/64 link#1 UC fxp0 fe80::290:27ff:fe2c:1310%fxp0 00:90:27:2c:13:10 UHL lo0 fe80::%fxp1/64 link#2 UC fxp1 fe80::20b:cdff:fe06:6d71%fxp1 00:0b:cd:06:6d:71 UHL lo0 fe80::%lo0/64 fe80::1%lo0 Uc lo0 fe80::1%lo0 link#4 UHL lo0 ff01::/32 ::1 U lo0 ff02::%fxp0/32 link#1 UC fxp0 ff02::%fxp1/32 link#2 UC fxp1 ff02::%lo0/32 ::1 UC lo0 root@gediz:~# arp -a? (172.16.0.1) at 00:00:0c:07:ac:b8 on fxp0 [ethernet] root@gediz:~#

FreeBSD 5.3 Networking Pratikleri: route Default route: root@gediz:~# route add default 172.16.0.1 add default: gateway 172.16.0.1 root@gediz:~# netstat -rn grep defa default 172.16.0.1 UGSc 3 0 fxp0 Net route: root@gediz:~# route add -net 100.100.100.0 172.16.0.1 255.255.252.0 add net 100.100.100.0: gateway 172.16.0.1 root@gediz:~# netstat -rn grep "100.100" 100.100.100/22 172.28.0.1 UGSc 0 0 fxp0 Host route: root@gediz:~# route add 111.111.11.11 10.0.0.1 add host 111.111.11.11: gateway 10.0.0.1 root@gediz:~# netstat -rn grep "111.11" 111.111.11.11 10.0.0.1 UGHS 0 0 fxp1

FreeBSD 5.3 Networking Pratikleri: tcpdump root@gediz:~# tcpdump -i fxp0 tcpdump: listening on fxp0 13:22:27.015220 172.16.0.2.ssh > pc4463.hoppala.com.tr.2079: P 3899699194:3899699258(64) ack 4136116219 win 58400 (DF) [tos 0x10] 13:22:27.191042 pc4463.hoppala.com.tr.2079 > 172.16.0.2.ssh:. ack 64 win 64799 (DF) 13:22:27.624981 802.1d config 8000.00:30:94:b5:1f:b7.8066 root 8000.00:05:9a:a5:e4:b7 pathcost 8 age 2 max 20 hello 2 fdelay 15 ^C 15 packets received by filter 0 packets dropped by kernel root@gediz:~#

FreeBSD 5.3 Networking Pratikleri: /etc/rc.conf ------ /etc/rc.conf ---------- ifconfig_fxp0="inet 172.16.0.2 netmask 255.255.252.0 ifconfig_fxp0_alias0="inet 172.16.0.3 netmask 0xffffffff" defaultrouter="172.16.0.1" hostname="gediz.devel.enerunix.org ------ /etc/rc.conf ---------- root@gediz:~# sh /etc/netstart Doing stage one network startup: Doing initial network setup:. fxp0: flags=8843<up,broadcast,running,simplex,multicast> mtu 1500 inet6 fe80::290:27ff:fe2c:1310%fxp0 prefixlen 64 scopeid 0x1 inet 172.16.0.2 netmask 0xfffffc00 broadcast 172.16.3.255 ether 00:90:27:2c:13:10 media: Ethernet autoselect (100baseTX <full-duplex>) status: active lo0: flags=8049<up,loopback,running,multicast> mtu 16384 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet 127.0.0.1 netmask 0xff000000 add net default: gateway 172.16.0.1 Additional routing options: TCP keepalive=yes. Routing daemons:. root@gediz:~#

FreeBSD 5.3 Networking Pratikleri: /stand/sysinstall arabirimi /stand/sysinstall -> Configure -> Networking -> Interfaces -> fxp0

FreeBSD 5.3 Networking Pratikleri: PPP (Dialup Internet) Seri modem COM1 -> /dev/ttys0 /dev/cuaa0 COM2 -> /dev/ttys1 /dev/cuaa1 / etc/ppp/ppp.conf set device /dev/ttys0 set speed 115200 set timeout 180 set phone 145 set authname kullaniciadi@ttnet set authkey dialupsifre set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0 enable dns add default HISADDR

FreeBSD 5.3 Networking Pratikleri: PPP (ADSL) PPoE default: set log Phase Chat LCP IPCP CCP tun command ident user-ppp VERSION (built COMPILATIONDATE) set device PPPoE:xl1:ppp set speed sync set mru 1492 set mtu 1492 set ctsrts off enable lqr set lqrperiod 5 set redial 15 28800 set reconnect 15 28800 enable dns add default HISADDR ttnet: set cd 5 set dial set login set timeout 0 set authname kullaniciadi@ttnet set authkey 1234567 set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0

FreeBSD 5.3 Networking Pratikleri: PPP (ADSL) PPoA root@gediz ~# cd /usr/ports/net-mgmt/pppoa root@gediz pppoa# make install adsl: set authname kullaniciadi@ttnet set authkey sifre set device!"/usr/local/sbin/pppoa2 -vpi 8 -vci 35 -v 1" accept chap set speed sync set timeout 0 enable lqr set lqrperiod 5 set redial 15 10000 set dial "" add default HISADDR enable dns

FreeBSD 5.3 Networking Pratikleri: Firewalling / NAT root@gediz:~# sysctl -w net.inet.ip.forwarding=1 net.inet.ip.forwarding: 0 -> 1 root@gediz:~# 1. IPFW - NATD Luigi Rizzo 3. IPFILTER Darren Reed 6. PF - ALTQ OpenBSD Project

FreeBSD 5.3 Güvenlik The FreeBSD Security Officer security-officer@freebsd.org Jacques Vidrine nectar@freebsd.org The FreeBSD Security Team Jacques Vidrine Dag-Erling Smorgrav Robert Watson Warner Losh The FreeBSD Security List security-anounce@freebsd.org The FreeBSD Security Web http://www.freebsd.org/security/

FreeBSD 5.3 Güvenlik Çekirdek Güvenlik Seviyeleri (Kernel Securelevels) -1 den 2 ye kadar güvenlik seviyeleri Her proses seviyeyi yükseltebilir, yalnızca init düşürebilir İlk güvenlik seviyesi 1 ise, init değiştirmez Değilse, tek kullanıcı: 1, çok kullanıcılı: 2 sysctl : kern.securelevel

FreeBSD 5.3 Güvenlik Çekirdek Güvenlik Seviyeleri (Kernel Securelevels) -1: En güvensiz seviye 0 : Güvensiz seviye: immutable bayrakları kapatılabilir, Dosya izinlerine bağlı olarak, bütün aygıtlar yazılıp okunabilir 1 : Güvenli seviye: immutable bayrakları kapatılamaz,mount edilmiş disk aygıtları /dev/mem ve /dev/kmem yazmak için açılamaz 2 : En güvenli seviye: 1. Seviyeye ek olarak, mount edilmiş olsun ya da olmasın, disklerin yazmak için açılamamasını sağlar. Örnğin, multiuser mode da newfs çalışmaz.

FreeBSD 5.3 Güvenlik Değiştirilemez Bayrağı (Immutable Flag) Dosya izinleri ne olursa olsun (r,w,x) bir dosyanın değiştirilemez olarak belirlenmesine olanak sağlar. # ls -lo /kernel -r-xr-xr-x 1 root wheel schg 1061679 Jun 30 01:27 /kernel # id uid=0(root) gid=0(wheel) groups=0(wheel), 2(kmem) # sysctl kern.securelevel kern.securelevel: 2 # rm -rf /kernel rm: /kernel: Operation not permitted # mv /kernel /tmp/ mv: rename /kernel to /tmp//kernel: Operation not permitted Güvenlik seviyesi 1 ve 2 de bu bayrak kapatılamaz: # chflags noschg /kernel chflags: /kernel: Operation not permitted

FreeBSD 5.3 Güvenlik VPN, IPSec GIF tüneli gifconfig Dialup VPN PPTP, mpd IPSec isakmp, racoon

FreeBSD 5.3 Güvenlik Sürekli güncel kalın Temel sistem güncelliği (Base system) security-anounce listesi, CERT, bugtraq cvsup, make world Security Branch Port sistemi güncelliği (Ports) FreeBSD takip etmez, sizin çaba harcamanız lazım. Sisteminizde ne çalıştırdığınızı bilin İhtiyacınız olmadığı halde SUID/SGID bulundurmayın suidcontrol http://www.watson.org/fbsd-hardening/suidcontrol.html DARPA funded TrustedBSD Project MACs, kernel tokens, POSIX 1.e standart security extensions

FreeBSD 5.3 Güvenlik Bazı tavsiyeler options NO_LKM İhtiyaç yoksa, LKM leri kapatın: İhtiyaç yoksa BPF i çekirdekte desteklemeyin Protector patch (yeni gcc, -fstack-protector) Sistem güvenlik seviyesini en az 1 yapın, kesinlikle 1 de bırakmayın İhtiyacınız olmayan hiçbir programı yüklemeyin, hiçbir servisi açmayın inetd!!! Özellikle ağ servisleri konusunda paranoyak olun İlla bir ağ servisi vermeniz gerekiyorsa en güvenli alternatifi seçin Kayıt tutmaktan yüksünmeyin (logging)

Blackhole net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 FreeBSD 5.3 Güvenlik Bazı tavsiyeler log_in_vain sysctl -w net.inet.tcp.log_in_vain=1 sysctl -w net.inet.udp.log_in_vain=1 RC.CONF: icmp_log_redirect="yes" icmp_drop_redirect="yes" tcp_drop_synfin="yes" (options TCP_DROP_SYNFIN)

SORULAR???

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim