Bilgi Güvenliği Etkinliği İstanbul / 2014 ECrime Turkey 2012 HosAng Ortamlarında Açık Kaynak Yazılımlar Kullanarak Saldırı TespiA ve Analizi Huzeyfe ÖNAL BGA Bilgi Güvenliği / Linux AKADEMİ [email protected]
Jun 17, 2015
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 E-‐Crime Turkey -‐ 2012
HosAng Ortamlarında Açık Kaynak Yazılımlar Kullanarak
Saldırı TespiA ve Analizi
Huzeyfe ÖNAL BGA Bilgi Güvenliği / Linux AKADEMİ
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Huzeyfe ÖNAL • Kurumsal Bilgi Güvenliği Hizmetleri Yöne=cisi @BGA • Penetra=on Tester • Eğitmen
– Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ
• Öğre=m Görevlisi Bilgi / Bahçeşehir Üniversitesi
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Ajanda • Siber dünya ve siber saldırılarda güncel durum • Hos=ng firmalarını hedef alan siber saldırılar • Savunma amaçlı kullanılabilecek açık kaynak güvenlik sistemleri
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Siber Saldırı Sebepleri
• Hacking – Kişisel tatmin ve eğlence için – Para için – Can sıkınVsı – Şantaj amaçlı – Kıskançlık ve aşırı kontrol sebebiyle – Bilgi ve sır çalmak maksadıyla – Poli=k gerekçelerle – Psikolojik harp aracı olarak kullanım maksatlı
4
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Gelir Kapısı Olarak Siber Saldırılar • Türkiye’den örnek:
– 600 firma – Firma başına 1500, 2000$ – Toplam gelir 900.000$ – Gider = 0+zaman – Yakalanma riski
• Yok denecek kadar az…
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Sık Gerçekleş=rilen Saldırı Tipleri • Web Tabanlı Uygulamalara Yönelik Saldırılar
– Genellikle eski, unutulmuş sistemleri hedef alır
• Parola Tahmini & Brute force Saldırıları – Login formu olan her uygulama ve network servisleri için
• Son kullanıcılara yönelik saldırılar – Oltalama, sosyal mühendislik denemeleri, zararlı yazılım
• DoS/DDoS Saldırıları – Yeni nesil amplifica=on saldırıları
• APT Saldırıları – Hedef Odaklı Karmaşık Saldırılar
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Saldırgan Bakış Açısı • Tespit enği güvenlik zafiyetlerini tekil olarak düşünmez
• Elde edilen her bilgi kırınVsı büyük hedefe götürecek bir parçadır
• Hedefi büyüktür, azla ye=nmez J
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Hacker ve Güvenlik Uzmanı Farkları • Güvenlik uzmanları prosedürel hareket enği için hackerlara göre bir adım geriden gelir.
• Güvenlik uzmanları için koruma bir meslek, hackerlar için bu korumaları aşmak bir zevk=r.
• Hacker için bilgi güvenliği diye bir kavram yoktur, sadece aşılması gereken engel vardır!
• Hackerların mesaisi , sayısı ve mo=vasyonu farklıdır... – Siber dünyada gece gündüz kavramları yoktur
– 7/24 mesai yaparlar!
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Açık Kaynak Bilgi Toplama Yöntemleri • Tüm saldırganlar taraqndan sık tercih edilen bir yöntemdir.
• İşini iyi bilen bir hacker herşeyden önce sağlam bir bilgi toplama adımı ile başlar
• Google, Bing, Shodanhq gibi arama motorları, sosyal medya, botnet araçları ve pastebin gibi kaynaklar
• Sadece açık kaynaklar kullanılarak ele geçirilebilecek ak=f sistem sayısı > 100.000
• Google Hacking Database (GHDB) Kullanımı
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Günlük Açıklık Takibi
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Saldırı için Bilgi Kaynakları
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Web Uygulama Güvenlik Zafiyetleri • Genellikle iki =p web uygulaması kullanılmaktadır:
– Firma için özel olarak geliş=rilen kodları içeren uygulama – Hazır bir CMS/Blog/portal yazılımı kullanımı
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Örnek Web Açıklığı:>SQL Injec=on • En tehlikeli web açıklıklarının başında gelir • Veritabanı bağlanVsı yapılan alanlarda kullanıcıdan alınan girdinin yeteri kadar kontrolden geçirilmeden veritabanına gönderilmesi sonucu oluşur.
• SQLi kullanarak ; – Veritabanı bilgileri elde edilebilir, – İşle=m sistemi ele geçirilebilir, – Dosya okuma, dosya yükleme gerçekleş=rilebilir, – …
• Tespit ve otoma=ze etmek için birçok araç vardır – Sqlmap
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Bilinen CMS Yazılımlarında Çıkan Açıklar
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Parola Tahmin Saldırısı Adımları • Telnet, |p, ssh ve benzeri protokoller için sık kullanılan kullanıcı adı ve parola denemeleri gerçekleş=rilir.
• Amaç hedef odaklı bir saldırıdan ziyade sürümden kazanmakVr.
• Tamamen otoma=ze edilebildiği için saldırganın fazla zamanını almaz – Fail2ban vs gibi yazilimlar kullanarak bu =p saldırılar büyük oranda engellenebilir.
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Yöne=m Paneli Zafiyetleri
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
DoS / DDoS Saldırıları • Günümüz dünyasının en ciddi tehditlerinden biri DDoS saldırılarıdır. – AbarV mı gerçek mi?
• DDoS saldırılarında amaç hedef sistemin ulaşılamaz hale ge=rilmesidir – “Ya benimsin ya kara toprağın” misali…
• Diğer saldırı =plerine göre gerçekleş=rmesi çok kolay korunması bir o oranda zordur.
• Günlük 50-‐100$ vererek Türkiye’de devre dışı bırakılamayacak web sitesi yok denecek kadar azdır.
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
DDoS Saldırıları Neden Ar�? • Temel Sebep : Güvenlik sistemlerinin artması hacking saldırılarının başarı oranını düşürmektedir.
• Amaç medyaya siber saldırı konusunda haber yapVrmak olunca en etkili saldırı yöntemi DDoS olmaktadır.
• Sadece Türkiye’de değil tüm dünyada ddos saldırıları ciddi oranlarda artmışVr.
• Bazı saldırıların arkasında DDoS engelleme hizmet sağlayıcıları ve ürün geliş=ricileri bulunabilmektedir.
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
15 Yaşında Bir Tehdit…
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
ISP’nin DDoS’a Cevabı
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Hos=ng Ortamlarında Güvenliği Sağlama • Çok sayıda sistem olması nedeniyle klasik güvenlik önlemleri hos=ng ortamları için uygulanabilir değil – 1 site ile 100000 siteyi korumak/izlemek…
• Proak=f güvenlik şart – Con=nuous Security Monitoring – Con=nuous Security Scan
• Koruma ve savunma amaçlı kullanılacak sistemlerin olabildiğince merkezileş=rilmesi gerekir.
• Müşterileri olabildiğince birbirinden yalıtmak ortaya çıkacak problemleri baştan çözmek için ilk adım olmalı – Linux/BSD Jail kullanımı
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
İşle=m Sistemi ve Uygulamaları Tarama • Ağ servisleri ve işle=m sistemi güvenlik taramaları
– OpenVAS – Nmap NSE
• Web Açıklıklarını Tarama – Netsparker – W3Af
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
DDoS Saldırıları için Güvenlik Duvarı • DDoS saldırılarında temelde iki problem vardır:
– Saldıranın bant genişliğinin sizin sahip olduğunuz bant genişliğinden fazla olması
– Ağ altyapınızda kullanılan sistemlerin bant genişliği haricinde kapasite (eş zamanlı istek sayısı limi= v.s) problemi olmaktadır.
• İyi bir donanım üzerinde ayarları iyi yapılmış açık kaynak Packet Filter (+/pfsense) kullanarak gelebilecek ddos saldırılarının birçoğu engellenebilir.
• Saldırıların büyük çoğunluğu bant genişliği taşırma şeklinde gerçekleşmez.
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
OpenBSD Packet Filter • *BSD dünyasının standart güvenlik duvarı yazılımı • Piyasadaki tüm =cari-‐açık kod güvenlik duvarlarının teknik kabiliyetlerinin üzerindedir – 1000Mb hat %13 CPU kullanımı (1.000.000 session)
• Kullanımı iptables’a göre oldukça esnek ve kolaydır – İngilizce yazar gibi kural yazma kolaylığı – Pass in on $ext_if proto tcp from 1.1.1.1 to 1.1.1.2 port 80
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Packet Filter Firewall Özellikleri • IP başına session başına limit koyma özelliği • SYN Proxy özelliği
– TCP authen=ca=on özelliği • HA(Yüksek bulunurluk) özelliği • Anormal paketleri (port tarama, işle=m sistemi saptama, traceroute vs) engelleme özelliği
• Birden fazla ISP arasında yük dengeleme özelliği • Ülkeye göre kural yazma esnekliği
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
State Tablosu Belirleme • Toplamda kaç adet session(durum) tutulacağını belirler – Fiziksel ram miktarıyla doğru oranVlıdır – set limit states 10500000
• Kaç adet kaynak IP adresine ait bilgi tutulacağını belirler – set limit src-‐nodes 5000000
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Syn Flood Engelleme • Packet Filter syn flood engelleme yöntemlerinden syn cookie değil syn proxy’i kullanır
• Syn proxy sesssion tu�uğu için sistemdeki fiziksel ram miktarı önemlidir
pass in log(all) on $ext_if proto tcp to $web_server port {80 443} flags S/SA synproxy
state
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
HTTP GET/POST Flood Engelleme • HTTP GET/POST flood saldırılarında IP spoofing yapılamaz
• Saldırının başarılı olması için binlerce IP adresinden onlarca HTTP GET pake= gönderilmelidir
• OpenBSD PF kullanarak bir IP adresinden eş zamanlı veya belirli süree gelebilecek paket sayısını kısıtlayabiliriz – Rate limi=ng özelliği
• Belirli seviyenin üzerinde paket gönderenler engellenir!
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Packet Filter HTTP Flood Engelleme
pass in log(all) quick on $ext_if proto tcp\ to $web_server port {80 443} flags S/SA\
synproxy state (max-‐src-‐conn 400, max-‐src-‐conn-‐rate 90/3, overload <ddos_host> flush global)
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Rate Limi=ng • IP başına max bağlanV sayısını 100 ile limitle • IP başına saniyede gönderilecek paket sayısını 10 ile limitle • Bu kurallara uymayan IP adreslerini ddos tablosuna ekle • Bu kural taraqndan oluşturulan state tablosunu boşalt!
table <ddos> persistblock in quick from <ddos>pass in on $ext_if proto tcp to $web_server \ port 80 flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 50/5, overload <ddos> flush)
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
TCP Authen=ca=on • Rate limi=ng uygulamalarının en önemli problemi IP spoofingdir
• Akıllı bir saldırgan rate limi=ng yapan bir sistemi spoof edilmiş IP adresleriyle kandırarak
• İstediği IP adreslerini engelletebilir – Root dns sunucular, Türkiye IP blokları vs
• OpenBSD PF TCP bağlanVları için rate limi=ng yapmadan önce IP adresinin gerçek olup olmadığını belirler!
• IP adresi gerçek değilse syn proxy’den geri döner • IP adresi gerçekse rate limi=ng özellikleri devreye alınır
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Grey Lis=ng Özelliği • SPAM engelleme için kullanılan bir özellik=r
– Genellikle SMTP için kullanılır
• Amaç spam gönderen ve normal kullanıcıları ayırt etmek=r – Spam gönderenler bir kere maili gönderir mail sunucudan dönecek cevaba bakmaz
– Normal smtp bağlanVlarında smtp bağlanVsı kurulur mail gönderilir eğer bir hata dönerse sunucudan belirli müddet sonra tekrar gönderilir!
• Spamleri ek bir sisteme ih=yaç duymadan %70 oranında engelleyebilmektedir.
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Packet Filter GrayLis=ng
ext_if="fxp0"table <spamd-white> persistrdr pass on $ext_if proto tcp from !<spamd-white> to port smtp -> 127.0.0.1 port spamd
pf=YES spamd_flags="-‐v -‐G 5:4:864" spamd_grey=YES
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Ülkelere Göre IP Adresi Engelleme • Özellikle spoof edilmeiş IP kullanılan saldırılarda trafik yoğun olarak bir ülkeden geliyorsa o ülkeye ait ip blokları tümden engellenebilir! – Ek olarak ilgili ülkeden gelen ziyaretcilere farklı bir sayfa gösterilebilir...
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Packet Filter Ülkeye Göre Bloklama
table <Turkiye> persist file "/etc/TR" table <israil> persist file "/etc/Israil" table <Cin> persist file "/etc/china" table <Rusya> persist file "/etc/Rusya" table <Usa> persist file "/etc/Usa" table <India> persist file "/etc/India"
[root@seclabs ~]# more /etc/china 19.203.239.24/29 46.116.0.0/15 46.120.0.0/15 62.0.0.0/17 62.0.128.0/19 62.0.176.0/18 62.0.240.0/20 62.56.252.0/22 62.90.0.0/17 62.90.128.0/18 62.90.192.0/19 62.90.224.0/20 62.90.240.0/21 62.90.248.0/22 62.90.253.0/23
block in quick log on $ext_if from <china>
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
“IP Spoofing” Engelleme • ISP’lerin mutlaka alması gereken önlemlerden • Amaç: İç ağdan dışarı spoof edilmiş IP adreslerinin çıkmasını engellemek
• Standart olarak URPF kullanılır – Başka güvenlik duvarlarında an=spoof adıyla da bilinir.
block in quick from urpf-failed label uRPF
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Host Tabanlı Anormallik/Saldırı Tespi= • OSSEC, işle=m sistemlerindeki log dosyalarını düzenli olarak kontrol ederek veritabanındaki 700’e yakın saldırı imzasının kontrolünden geçirir.
• Aynı zamanda sistem üzerindeki dosya/dizin değişiklikleri, anormal login ak=vitelerini de raporlar.
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
OSSEC Çalışma Mimarisi
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Ağ Tabanlı “Merkezi” Saldırı Tespit ve Engelleme
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Snort: Açık Kod Atak Engelleme Sistemi • Snort 3.5~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır.
• Açık Kaynak Kodlu, Özgür Lisansa Sahip • ’98 yılında hobi amaçlı başlangıç • Günümüzde: akademik, askeri, =cari kullanım alanları • Linux/UNIX/Windows • Stateful Packet Tracking • Hedef tabanlı IDS özelliği • Ipv6 desteği • Firewall’lara komut gönderimi • Esnek kural dili
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Snort Kullanım Alanları • Snort çeşitli kullanım alanlarına sahip=r
– Sniffer, trafik dinleme/analizi amaçlı – NIDS (Ağ Tabanlı Saldırı Tespit Sistemi)mod – NIPS(Ağ Tabanlı Saldırı Engelleme) mod – Anormallik Tespit Sistemi – DDOS Engelleme Sistemi – NFA(Network Forensic Analys) Aracı – DLP(Veri Sızma Kontrolü)
• Bir nevi oyun hamuru gibi teknik bilginize göre istenen özelliklerin eklenebileceği bir altyapı sunar.
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Snort NIDS Mod İnceleme
Snort IDS modda nasıl çalışır? • Paketleri nerden alır? • Hani süreçlerden geçirir? • Nasıl bir çıkV verir?
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
NIPS Mod Yerleşim Planı
• Inline yerleşim şart! • Cihaz L2(bridge mod) veya L3 çalışabilir. • En sağlıklı çözüm
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Snort Performans • Snort tek işlemci kullanabildiği için 2-‐3 Gbps trafik üzerinde ciddi trafik kayiplarina sebep olur.
• Klasik libpcap yerine PF_RING kütüphanesi kullanılarak performans %30-‐40 oranında ar�rılabilir.
• 10 Gbps altyapılarda Snort yerine Surricata kullanılabilir – Birden fazla işlemci kullanabilir – Snort kurallarını destekler
• Arka planda üre=len alarm ve loglar için veritabanı yerine daha esnek altyapılar kullanılmalı.
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Gerçek İş Ortamlarında Snort Kullanımı • Türkiye’den örnekler…
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
Problem Çözümü ve Güvenlik Amaçlı Loglama
Bilgi Güvenliği Etkinliği -‐ İstanbul / 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 HosAng FesAvali Etkinliği -‐ İstanbul / 2014
İle=şim Bilgileri
• www.lifeoverip.net • Blog.bga.com.tr Blog
• @bgasecurity • @huzeyfeonal • @linuxakademi
Twi�er
• [email protected] İle=şim